使用JAXB实现XML转对象导致XXE漏洞防护

原创 于 2019-05-29 10:18:28 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XXE #JAXB

博客介绍了XXE的不安全写法,存在漏洞,同时给出安全写法用于漏洞防护,还提供了XXE防护官方文档,包含各种xml转bean防护方法,此外还列出了相关参考链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

不安全写法,存在漏洞:

public static Object convertXmlToObj(Class clazz, String xmlStr)throws Exception {
    JAXBContext context = JAXBContext.newInstance(clazz);
    Unmarshaller unmarshaller = context.createUnmarshaller();
    return unmarshaller.unmarshal(new StringReader(xmlStr));
}

安全写法,漏洞防护:

public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {
    // 将外部实体、参数实体和内联DTD 都设置为false,从而避免XXE漏洞
    SAXParserFactory spf = SAXParserFactory.newInstance();
    spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
    spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
    spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

    // Do unmarshall operation
    Source xmlSource = new SAXSource(spf.newSAXParser().getXMLReader(), new InputSource(new StringReader(xml)));

    JAXBContext context = JAXBContext.newInstance(klass);
    Unmarshaller unmarshaller = context.createUnmarshaller();
    return unmarshaller.unmarshal(xmlSource);
}

XXE防护官方文档:(包含各种xml转bean防护方法)https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.md

 参考:

          https://www.cnblogs.com/wfzWebSecuity/p/6681114.html
          https://blog.spoock.com/2018/10/23/java-xxe/
          https://blog.youkuaiyun.com/SouthWind0/article/details/89455611

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值