关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补

最新推荐文章于 2025-06-25 11:48:19 发布
转载 最新推荐文章于 2025-06-25 11:48:19 发布 · 2.8k 阅读 · 1
文章标签:

#xml

微信通知存在XML实体注入漏洞,博主后台采用dom4j包解析微信传入的xml。最初使用DocumentHelper的parseText方式解析,后经查看dom4j和SAXReader源码,找到处理方式,即使用SAXReader的setFeature方法,并给出了具体代码及需引入的包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

7月4日微信发来通知说存在XML实体注入漏洞,请修改。

由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。

最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实现,其实也是SAXReader实现的,再查看SAXReader源码,里面也有一个方式setFeature,于是找到了处理方式

Document doc = null;
    
SAXReader reader = new SAXReader();

try{
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
}


catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
wtbapi.Log.log("A DOCTYPE was passed into the XML document","GJ.java文件错误2");
}

String encoding = getEncoding(str);

InputSource source = new InputSource(new StringReader(str));
source.setEncoding(encoding);

doc = reader.read(source);
if (doc.getXMLEncoding() == null) {
  doc.setXMLEncoding(encoding);

}

其中getEncoding(String)方法是DocumentHelper内部的方式

private static String getEncoding(String text)
  {
String result = null;

String xml = text.trim();
if (xml.startsWith("<?xml"))
{
  int end = xml.indexOf("?>");
  String sub = xml.substring(0, end);
  StringTokenizer tokens = new StringTokenizer(sub, " =\"'");
  while (tokens.hasMoreTokens())
  {
String token = tokens.nextToken();
if ("encoding".equals(token))
{
  if (!tokens.hasMoreTokens()) {
break;
  }
  result = tokens.nextToken(); break;
}
  }
}
return result;

  }

有三个包要引入一下

import org.xml.sax.InputSource;
import org.xml.sax.SAXException;
import java.util.StringTokenizer;

原文:https://blog.youkuaiyun.com/wtbapi/article/details/80944244 

DOM解析之DOM防护-XXE(外部实体注入漏洞)
就写一行代码
11-20 1342
最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞” 也就是说 涉及微信回调解析xml的过程需要补充一个防止外部实体注入的代码,以下以DOM为例。 具体代码如下: 这个是一个公共的方法 用来解析之前加入xml防护 package com.net.pay.wxpay.util; import java.io.IOException; import javax.xml...
PHP XXE漏洞
weixin_30849591的博客
01-24 1160
PHP xml 外部实体注入漏洞XXE) 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、...
一文掌握 Java XXE 漏洞原理、利用与防御姿势(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
06-25 849
XXEXML External Entity)漏洞是利用 XML 的“外部实体”功能,让服务器读取本地文件或访问远程地址(如 SSRF)。常见后果:读取文件(等)内网打点(SSRF)内存攻击(DoS)数据外带(OOB 数据 exfiltration)有没有 XML 解析?(关键词+代码)用户能不能控制 XML 内容?有没有禁用外部实体和 DTD?上面主要类型,在代码中未发现的相关配置大概率就有问题黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料。
XML外部实体注入漏洞- XXE
weixin_40230278的博客
08-05 922
XML外部实体注入漏洞- XXE 概览: 实验内容 影响版本: 漏洞介绍 实验结果分析与总结 修复方案 实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞的修复。 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体...
dom4j-xml-injection:dom4j xml注入漏洞的概念证明
04-29
dom4j-xml-注入 这是概念证明,显示了dom4j上的XML注入漏洞。 该项目具有三个子模块,除了dom4j版本外,这些子模块相同。 易受攻击的模块使用2.1.0,安全模块使用2.1.1,旧版模块使用1.6。 所有模块均具有描述该漏洞的相同测试。 该测试在易受攻击的模块和旧版模块上变为绿色,但在安全模块上失败。 要检查生成的XML文件中是否存在易受攻击的模块,只需在./vulnerable-version/output.xml查找输出文件./vulnerable-version/output.xml 要检查所生成的旧模块的XML文件,只需在./vulnerable-version/output.xml查找输出文件。
XXE(外部实体注入漏洞)
dinghuan2011的专栏
09-11 3952
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/zhangxing52077/article/details/80932730 1.场景还原    近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助 2.原因分析   所谓的外部实体注入漏洞,主...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
dom4j-1.6.1.jar解析xmldocumenthelper.parsetext("xml"),这句代码存在xml外部实体注入,如何修复
03-01
好的,我现在需要解决用户提出的关于dom4j-1.6.1.jar在解析XML使用DocumentHelper.parseText方法存在XML外部实体注入XXE漏洞的问题,并给出修复方法。让我先理清楚整个问题的来龙去脉。 首先,用户提到使用...
python解析外部实体_XXE外部实体注入漏洞
weixin_39779975的博客
12-04 747
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫...
(39.2)【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例
04-26 3944
【专题】XXE入门
微信XXE漏洞复现
xuechangchun007的专栏
07-10 2243
7月4号微信SDK曝出漏洞,现在回现漏洞出现的过程,以下方式用JAVA 的SpringBoot实现。强调:只是技术研究,不准用于非法途径。熟悉了这些漏洞才能让系统更健壮有两个工程,一个是模拟商户端的server,有一个支持微信回调的接口;一个是攻击方的server,有一个可以接收请求的方法。创建一个商家的springboot工程,端口8080配置springboot可以访问静态文件,pom.xml...
XXE漏洞——XML实体定义引起的兼容性问题
学无止境
10-27 1万+
XXE漏洞——XML实体定义引起的兼容性问题 一、XML基础知识 XML指可扩展的标记语言(Extensible Markup Language),类似于HTML(超文本标记语言); XML被设计用来结构化、存储以及传输信息,其焦点是数据的内容; XML没有任何预定义的标签,所有标签均由开发者自定义,开发者可以依据需要定制与业务匹配的结构化标签; XML是对HTML的补充
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
ShuoGuangNian的博客
07-17 700
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
开源组件风险修复,升级版本就够了吗?
热门推荐
cenlois的博客
03-12 1万+
通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么?近日,开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议,MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报,MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...
documentHelper解析xml获取想要的数据
weixin_45427945的博客
01-27 2986
documentHelper解析xml
java审计-XXE
admin741admin的博客
04-13 766
XML是一种非常流行的标记语言,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。而在XXE中最常见的就是通用实体和参数实体
[20][03][14] XML External Entity Injection(XXE)
安全新司机
05-19 513
文章目录1. 描述2. 场景3. 复现问题3.1 解析 XML 文件或 xml 字符串4. 如何解决 XXE4.1 升级第三方组件版本至安全版本4.2 主动防御外部实体 1. 描述 在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题 2. 场景 解析 xml 字符串 解析 xml 文件 3. 复现问题 3.1 解析 XML 文件或 xml 字符串 待解析 xml 文件,命名为 xxe.xml &
dom4j.DocumentHelperXXE注入攻击问题
07-14
针对 "dom4j.DocumentHelper" 的 XXE 注入攻击问题,我可以提供一些解决方案。 XXEXML External Entity)注入攻击是一种利用 XML 解析漏洞的攻击方法,攻击者可以通过构造恶意的 XML 数据来读取、替换或者删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值