使用JAXB实现XML转对象导致XXE漏洞防护

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量1.4k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: XXE JAXB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangww3/article/details/90665695
博客介绍了XXE的不安全写法,存在漏洞,同时给出安全写法用于漏洞防护,还提供了XXE防护官方文档,包含各种xml转bean防护方法,此外还列出了相关参考链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

不安全写法,存在漏洞:

public static Object convertXmlToObj(Class clazz, String xmlStr)throws Exception {
    JAXBContext context = JAXBContext.newInstance(clazz);
    Unmarshaller unmarshaller = context.createUnmarshaller();
    return unmarshaller.unmarshal(new StringReader(xmlStr));
}

安全写法,漏洞防护:

public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {
    // 将外部实体、参数实体和内联DTD 都设置为false,从而避免XXE漏洞
    SAXParserFactory spf = SAXParserFactory.newInstance();
    spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
    spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
    spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

    // Do unmarshall operation
    Source xmlSource = new SAXSource(spf.newSAXParser().getXMLReader(), new InputSource(new StringReader(xml)));

    JAXBContext context = JAXBContext.newInstance(klass);
    Unmarshaller unmarshaller = context.createUnmarshaller();
    return unmarshaller.unmarshal(xmlSource);
}

XXE防护官方文档:(包含各种xml转bean防护方法)https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.md

 参考:

          https://www.cnblogs.com/wfzWebSecuity/p/6681114.html
          https://blog.spoock.com/2018/10/23/java-xxe/
          https://blog.youkuaiyun.com/SouthWind0/article/details/89455611

java xml 实体注入_防止 XML外部实体注入
weixin_35193765的博客
02-16 2980
方式一DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";dbf.setFea...
JAXB- XML外部实体注入安全代码漏洞(XXE)
qq_24702263的博客
05-15 2195
XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 具体的可以看:https://blog.csdn.net/qq_24702263/article/details/106137827 JAXB是什么? JAXB实现了java对象xml之间的换 package com.jaxb; import java.io.FileInpu
xml对象封装的简单与复杂xml化写法
11-05
这里有三个工具都是利用jdom的jar做的 xml对象XmlUtil这个可以直接使用简单的对象换,没有二级对象以及复杂对象换,其他的两个工具类包含其他复杂的代码换,但是内容需要自己修改
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 5163
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
xmlxxe漏洞
m0_48907714的博客
04-25 4305
XXE漏洞 XML概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 XML与HTML的主要差异 XML被设计为传输和存储数据,其焦
Java XML XXE 底层防御
沧海一粟
12-07 6667
JavaXML相关API 是由JAXP定义了相关的XML的通用接口,常见包括DOM/SAX/STAX/XPATH 的标准API Javax.xml.parsers  -> DOM/SAX Javax.xml.stream   -> STAX Javax.xml.xpath    -> XPATH Javax.xml.bind     -> JAXB javax.xml.ws
XML所引起的xss攻击
https://www.cnblogs.com/zpchcbd/
10-15 5076
利用条件: 1、满足同源策略 test.jpg <?xml version="1.0" encoding="iso-8859-1"?> <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"> <xsl:template match="/"> <ht...
webservice之使用jaxbxml换Object或把对象换成xml文件
04-24
在Java世界中,使用JAXB(Java Architecture for XML Binding)库可以方便地实现XML数据与Java对象之间的换,从而在WebService中轻松处理数据交换。本篇文章将深入探讨如何使用JAXB进行XML到Object以及Object到XML...
JAXB技术实现xml与java对象互相化代码教程
04-10
使用java jdk的JAXB技术实现xml与java对象互相化代码教程: JDK中JAXB相关的重要Class和Interface:(来源于百度百科JAXB) •JAXBContext类,是应用的入口,用于管理XML/Java绑定信息。 •Marshaller接口,将Java...
JAXB处理XML对象
12-22
在Java程序中,JAXB通过注解(Annotations)和API来实现对象XML之间的换。以下是一些关键的概念: 1. **注解**:JAXB提供了一系列注解,如`@XmlRootElement`,`@XmlElement`,`@XmlAttribute`等,用于标记Java...
利用JAXB进行xml和javabean之间
08-03
JAXB(Java Architecture for XML Binding)是Java提供的一种标准API,它允许我们轻松地在Java对象(javabean)和XML文档之间进行换。通过JAXB,开发者可以避免手动编写XML解析和序列化代码,极大地提高了开发...
JAXB工具类 xml为java对象 java对象xml
05-17
本教程将详细介绍JAXB如何实现XML到Java对象以及Java对象XML换。 ### JAXB概述 JAXB提供了一种自动化的机制,将XML Schema(XSD)映射到Java类,反之亦然。这允许开发者在Java应用中存储和序列化数据为XML...
XXE漏洞XML外部实体注入)
whoim_i的博客
02-20 4776
目录什么是XXE基础知识基本利用 什么是XXE XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并...
XXE技巧拓展】————3、XML实体注入漏洞攻与防
Fly_鹏程万里
12-24 2138
目录 XML基础 XML实体注入漏洞的几种姿势 防御XML实体注入漏洞 XML基础 XML是一种用于标记电子文件使其具有结构性的标记语言,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 XML技术基础我在这里将不在详细解读,有兴趣的小伙伴可以通过...
Xml外部实体注入(XXE)漏洞(九)
guanjian_ci的博客
02-23 759
自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE根元素 [元素声明]> 引用外部DTD <!DOC..
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
dzqxwzoe的博客
05-29 1444
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 8387
Xml实体注入漏洞姿势总结
解读JAXBContext
mry6的博客
03-25 7895
解读JAXBContextJAXBContext是整个JAXB API的入口.主要用来构建JAXB实例(newInstance()),并提供与XML/Java绑定信息相关的抽象方法,如编组(createMarshaller())、解组(createUnmarshaller())和验证(createValidator()).其中与验证相关的方法已废弃(Deprecated),被Validator...
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 7024
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
xxe漏洞修复java
最新发布
01-25
### 如何在Java中修复XXE漏洞 为了有效防范XXEXML External Entity)攻击,在Java环境中应当采取一系列措施确保安全性。当涉及到基于DOM的方式解析XML时,可以通过设置`DocumentBuilderFactory`的安全特性来阻止外部实体加载[^1]。 ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); // 或者对于其他厂商的实现也可以尝试如下通用特征 dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); DocumentBuilder db = dbf.newDocumentBuilder(); Document doc = db.parse(new File("input.xml")); ``` 针对SAX解析器,则需调整对应的工厂实例: ```java SAXParserFactory spf = SAXParserFactory.newInstance(); spf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); SAXParser saxParser = spf.newSAXParser(); saxParser.parse(new InputSource(new StringReader(xmlString)), new DefaultHandler()); ``` 如果项目依赖于JAXB来进行XML绑定操作,除了上述预防手段外,还应考虑使用更安全的数据交换格式替代XML,比如JSON;或者采用支持禁用DOCTYPE声明及其他潜在风险特性的库版本,并合理配置相关参数以增强防护能力[^3]。 另外值得注意的是,某些特殊场景下可能会遇到自定义URL协议处理器的情况,例如提到过的`jar:`协议。在这种情形里,务必谨慎评估并限制其访问权限范围,以免成为新的安全隐患入口[^2]。 最后提醒一点,保持第三方组件及其依赖项处于最新状态同样重要,因为官方往往会及时修补已知缺陷和弱点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值