关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补

最新推荐文章于 2025-03-09 09:26:44 发布
原创 最新推荐文章于 2025-03-09 09:26:44 发布 · 6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XXE #dom4j #微信支付

7月4日微信发来通知说存在XML实体注入漏洞,请修改。

由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。


最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实现,其实也是SAXReader实现的,再查看SAXReader源码,里面也有一个方式setFeature,于是找到了处理方式


Document doc = null;
    
SAXReader reader = new SAXReader();

try{
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
}


catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
wtbapi.Log.log("A DOCTYPE was passed into the XML document","GJ.java文件错误2");
}

String encoding = getEncoding(str);

InputSource source = new InputSource(new StringReader(str));
source.setEncoding(encoding);

doc = reader.read(source);
if (doc.getXMLEncoding() == null) {
  doc.setXMLEncoding(encoding);

}</

最低0.47元/天 解锁文章
java审计之XXE
Hq_Dream的博客
01-20 2270
java审计之XXE 有很久很久没更新这个csdn博客了,忽然想下载个资料发现没积分了,嗯额,分享个最新更新的文章。文章首发是个人的另一个博客 最近审计公司的xxx项目(java方面),对于我也是刚接触java方面的审计,边学习边审计,其中发现了几个有意思的blind xxe于是单独挑出XXE深入研究下,我觉得有必要page记录一下审计与学习的内容,对于xxe方面内容可能还不是太完整后续再添加吧,...
DOM解析之DOM防护-XXE(外部实体注入漏洞)
就写一行代码
11-20 1389
最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞” 也就是说 涉及微信回调解析xml的过程需要补充一个防止外部实体注入的代码,以下以DOM为例。 具体代码如下: 这个是一个公共的方法 用来解析之前加入xml防护 package com.net.pay.wxpay.util; import java.io.IOException; import javax.xml...
dom4j-xml-injection:dom4j xml注入漏洞的概念证明
04-29
dom4j-xml-注入 这是概念证明,显示了dom4j上的XML注入漏洞。 该项目具有三个子模块,除了dom4j版本外,这些子模块相同。 易受攻击的模块使用2.1.0,安全模块使用2.1.1,旧版模块使用1.6。 所有模块均具有描述该漏洞的相同测试。 该测试在易受攻击的模块和旧版模块上变为绿色,但在安全模块上失败。 要检查生成的XML文件中是否存在易受攻击的模块,只需在./vulnerable-version/output.xml查找输出文件./vulnerable-version/output.xml 要检查所生成的旧模块的XML文件,只需在./vulnerable-version/output.xml查找输出文件。
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
ShuoGuangNian的博客
07-17 724
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
XXE代码审计以及XXE漏洞修复
01-27 2024
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
PHP XXE漏洞
weixin_30849591的博客
01-24 1185
PHP xml 外部实体注入漏洞XXE) 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、...
精选资源
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
dom4j-1.6.1.jar解析xml,documenthelper.parsetext("xml"),这句代码存在xml外部实体注入,如何修复
03-01
好的,我现在需要解决用户提出的关于dom4j-1.6.1.jar在解析XML时使用DocumentHelper.parseText方法存在XML外部实体注入XXE漏洞的问题,并给出修复方法。让我先理清楚整个问题的来龙去脉。 首先,用户提到使用...
python解析外部实体_XXE外部实体注入漏洞
weixin_39779975的博客
12-04 786
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫...
XML外部实体注入漏洞- XXE
weixin_40230278的博客
08-05 929
XML外部实体注入漏洞- XXE 概览: 实验内容 影响版本: 漏洞介绍 实验结果分析与总结 修复方案 实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞修复。 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体...
XXE(外部实体注入漏洞)
dinghuan2011的专栏
09-11 3990
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/zhangxing52077/article/details/80932730 1.场景还原    近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助 2.原因分析   所谓的外部实体注入漏洞,主...
(39.2)【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例
04-26 4019
【专题】XXE入门
微信XXE漏洞复现
xuechangchun007的专栏
07-10 2260
7月4号微信SDK曝出漏洞,现在回现漏洞出现的过程,以下方式用JAVA 的SpringBoot实现。强调:只是技术研究,不准用于非法途径。熟悉了这些漏洞才能让系统更健壮有两个工程,一个是模拟商户端的server,有一个支持微信回调的接口;一个是攻击方的server,有一个可以接收请求的方法。创建一个商家的springboot工程,端口8080配置springboot可以访问静态文件,pom.xml...
XXE漏洞——XML实体定义引起的兼容性问题
学无止境
10-27 1万+
XXE漏洞——XML实体定义引起的兼容性问题 一、XML基础知识 XML指可扩展的标记语言(Extensible Markup Language),类似于HTML(超文本标记语言); XML被设计用来结构化、存储以及传输信息,其焦点是数据的内容; XML没有任何预定义的标签,所有标签均由开发者自定义,开发者可以依据需要定制与业务匹配的结构化标签; XML是对HTML的补充
开源组件风险修复,升级版本就够了吗?
热门推荐
cenlois的博客
03-12 1万+
通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么?近日,开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议,MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报,MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...
【Java代码审计 | 第十三篇】XXE漏洞成因、防范及审计思路
最新发布
等风来
03-09 1026
XXE(XML External Entity,XML外部实体注入) 是一种安全漏洞,攻击者通过利用XML解析器处理外部实体的功能,读取本地文件、发起网络请求或导致拒绝服务攻击。XXE通常发生在应用程序解析用户提供的XML输入时,未禁用外部实体解析的情况下。禁用外部实体解析、对用户提供的XML输入进行严格的验证、选择默认禁用外部实体解析的库,或在初始化时显式禁用。1、读取本地文件:通过加载外部实体,读取服务器上的敏感文件(如/etc/passwd)。风险:如果未禁用外部实体解析,可能导致XXE漏洞
XXE 漏洞简单研究
辛勤搬砖的门卫的专栏
02-27 1538
XXE漏洞
java代码审计中的一些常见漏洞及其特征函数
weixin_30527551的博客
12-07 779
文章来源:https://xz.aliyun.com/t/1633 最近在先知上看到之前有篇关于java代码审计的文章总结的蛮好,记录以下特征函数,方便查阅,同时自己也会将在平时代码审计过程中积累的函数补充在这篇文章中。(虽然作者已经很贴心的提供了脚本)。 1.xxe 常见解析xml的类有如下: javax.xml.parsers.DocumentBuilderjavax.xml.stre...
DOM、JDOM、DOM4J解析XML实例
java study
06-20 270
一、DOM方式 原始name.xml Html代码  &lt;?xml version="1.0" encoding="GB2312" standalone="no"?&gt;&lt;学生花名册&gt;       &lt;学生 性别="男"&gt;           &lt;姓名&gt;李华&lt;/姓名&gt; 
dom4j.DocumentHelperXXE注入攻击问题
07-14
您好!针对 "dom4j.DocumentHelper" 的 XXE 注入攻击问题,我可以提供一些解决方案。 XXE(XML External Entity)注入攻击是一种利用 XML 解析漏洞的攻击方法,攻击者可以通过构造恶意的 XML 数据来读取、替换或者删除服务器上的文件,甚至执行任意代码。 为了防止 XXE 注入攻击,您可以采取以下措施: 1. 禁用外部实体解析:在使用 dom4j解析 XML 数据时,可以设置禁用外部实体解析的选项。例如,在创建 SAXReader 对象之前,可以调用 `setFeature` 方法禁用外部实体解析: ```java SAXReader reader = new SAXReader(); reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); reader.setFeature("http://xml.org/sax/features/external-general-entities", false); reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false); ``` 2. 输入验证和过滤:对于从用户输入或其他不可信源获取的数据,应该进行严格的输入验证和过滤。例如,可以使用正则表达式或其他方法来验证输入的 XML 数据,确保其中不包含外部实体引用或其他恶意代码。 3. 使用安全的 XML 解析器:除了 dom4j,还有其他一些 XML 解析器可以选择,例如,Java 自带的 javax.xml.parsers 包中的 DocumentBuilder。这些解析器可能有更好的安全性和防御机制。 4. 更新和修复漏洞:及时更新 dom4j 库以获取最新的安全修复漏洞修复。 请注意,以上措施仅为一般建议,具体的防护措施应该根据您的具体应用场景和安全需求进行调整和实施。同时,也建议参考相关安全标准和最佳实践来确保应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值