《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)

2024-01-24 19:08

本文主要是介绍《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1.漏洞描述

XML外部实体注入漏洞,即XXE(XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。

2.JAXB是什么?

JAXB实现了java对象与xml之间的转换,使用的注解主要有:

(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。参数:

name  定义这个根节点的名称

namespace   定义这个根节点命名空间

(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。可接收4个参数:

XmlAccessType.FIELD:Java对象中的所有成员变量;

XmlAccessType.PROPERTY:Java对象中所有通过getter/setter方式访问的成员变量;

XmlAccessType.PUBLIC_MEMBER:Java对象中所有的public访问权限成员变量和通过getter/setter方式访问的成员变量;

XmlAccessType.NONE:Java对象的所有属性都不映射为xml元素。

(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。

(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。

(5)@XmlTransient:定义某一字段或属性不需要被映射为XML。

(6)@XmlType:用于在类的注解,定义映射的一些相关规则。

(7)@XmlElementWrapper:为数组元素或集合元素定义一个父节点。

(8)@XmlJavaTypeAdapter:自定义某一字段或属性映射到XML的适配器。

3.漏洞复现

(1)编写对象类Student.java

package com.jaxb;
import javax.xml.bind.annotation.XmlAccessType;
import javax.xml.bind.annotation.XmlAccessorType;
import javax.xml.bind.annotation.XmlElement;
import javax.xml.bind.annotation.XmlRootElement;@XmlRootElement
@XmlAccessorType(XmlAccessType.FIELD)
public class Student {@XmlElement(name = "name")private String name;public String getName() {return name;}public void setName(String name) {this.name = name;}@Overridepublic String toString() {return "Student [name=" + name + "]";}}

(2)测试类TestJaxb.java

package com.jaxb;import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;
import javax.xml.bind.JAXBContext;
import javax.xml.bind.Marshaller;
import javax.xml.bind.Unmarshaller;
import javax.xml.stream.XMLInputFactory;
import javax.xml.stream.XMLStreamReader;public class TestJaxb {//读取文件public static String readContent(String file) throws Exception {FileInputStream input = new FileInputStream(file);byte[] content = new byte[2 * 1024];int realBytes = input.read(content);input.close();return new String(content, 0, realBytes, "UTF-8");}//对象转xmlpublic static String objectToXML(Class<?> klass, Object obj) throws Exception {JAXBContext jaxbContext = JAXBContext.newInstance(klass);Marshaller marshaller = jaxbContext.createMarshaller();marshaller.setProperty(Marshaller.JAXB_FORMATTED_OUTPUT, Boolean.TRUE);marshaller.setProperty(Marshaller.JAXB_ENCODING, "UTF-8");marshaller.setProperty(Marshaller.JAXB_FRAGMENT, false);StringWriter writer = new StringWriter();marshaller.marshal(obj, writer);writer.close();return writer.toString();}//xml转对象,存在漏洞public static Object xmlToObject(Class<?> klass, String xml) throws Exception {JAXBContext context = JAXBContext.newInstance(klass);Unmarshaller unmarshaller = context.createUnmarshaller();return unmarshaller.unmarshal(new StringReader(xml));}//xml转对象安全写法public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {JAXBContext context = JAXBContext.newInstance(klass);Unmarshaller unmarshaller = context.createUnmarshaller();XMLInputFactory xif = XMLInputFactory.newFactory();xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));return unmarshaller.unmarshal(xsr);	}public static void main(String[] args) throws Exception {String xml = readContent("f:/home/root/student.xml");Object obj = xmlToObject(Student.class,xml);System.out.println(objectToXML(Student.class,obj));}
}

student.xml的内容:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE student[ <!ENTITY out SYSTEM "file:///f:/home/passwd.txt">  ]><student><name>&out;</name>
</student>

passwd.txt的内容:

root:root

运行截图:

可以看到漏洞存在,读取了passwd.txt的内容。

4.修复建议

限制外部实体的解析,修改方案可参考以下代码:

注意这里只禁止了外部实体的解析,已经可以防御XXE了,没有禁止DTDs,禁止DTDs有的时候会报错,当然最好的解决方案是也禁止DTDs:xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);

//xml转对象安全写法public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {JAXBContext context = JAXBContext.newInstance(klass);Unmarshaller unmarshaller = context.createUnmarshaller();XMLInputFactory xif = XMLInputFactory.newFactory();xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));return unmarshaller.unmarshal(xsr);	}

运行截图:

5.帮助

如果发生如下报错,可以添加JAXB的依赖,jaxb-impl-2.1.6.jar和jaxb-api-2.1.jar。

这篇关于《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/640698

相关文章

Spring Security常见问题及解决方案

《SpringSecurity常见问题及解决方案》SpringSecurity是Spring生态的安全框架,提供认证、授权及攻击防护,支持JWT、OAuth2集成,适用于保护Spring应用,需配置... 目录Spring Security 简介Spring Security 核心概念1. ​Securit

SpringBoot+EasyPOI轻松实现Excel和Word导出PDF

《SpringBoot+EasyPOI轻松实现Excel和Word导出PDF》在企业级开发中,将Excel和Word文档导出为PDF是常见需求,本文将结合​​EasyPOI和​​Aspose系列工具实... 目录一、环境准备与依赖配置1.1 方案选型1.2 依赖配置(商业库方案)二、Excel 导出 PDF

Python实现MQTT通信的示例代码

《Python实现MQTT通信的示例代码》本文主要介绍了Python实现MQTT通信的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一... 目录1. 安装paho-mqtt库‌2. 搭建MQTT代理服务器(Broker)‌‌3. pytho

SpringBoot改造MCP服务器的详细说明(StreamableHTTP 类型)

《SpringBoot改造MCP服务器的详细说明(StreamableHTTP类型)》本文介绍了SpringBoot如何实现MCPStreamableHTTP服务器,并且使用CherryStudio... 目录SpringBoot改造MCP服务器(StreamableHTTP)1 项目说明2 使用说明2.1

spring中的@MapperScan注解属性解析

《spring中的@MapperScan注解属性解析》@MapperScan是Spring集成MyBatis时自动扫描Mapper接口的注解,简化配置并支持多数据源,通过属性控制扫描路径和过滤条件,利... 目录一、核心功能与作用二、注解属性解析三、底层实现原理四、使用场景与最佳实践五、注意事项与常见问题六

Spring的RedisTemplate的json反序列泛型丢失问题解决

《Spring的RedisTemplate的json反序列泛型丢失问题解决》本文主要介绍了SpringRedisTemplate中使用JSON序列化时泛型信息丢失的问题及其提出三种解决方案,可以根据性... 目录背景解决方案方案一方案二方案三总结背景在使用RedisTemplate操作redis时我们针对

Java中Arrays类和Collections类常用方法示例详解

《Java中Arrays类和Collections类常用方法示例详解》本文总结了Java中Arrays和Collections类的常用方法,涵盖数组填充、排序、搜索、复制、列表转换等操作,帮助开发者高... 目录Arrays.fill()相关用法Arrays.toString()Arrays.sort()A

Spring Boot Maven 插件如何构建可执行 JAR 的核心配置

《SpringBootMaven插件如何构建可执行JAR的核心配置》SpringBoot核心Maven插件,用于生成可执行JAR/WAR,内置服务器简化部署,支持热部署、多环境配置及依赖管理... 目录前言一、插件的核心功能与目标1.1 插件的定位1.2 插件的 Goals(目标)1.3 插件定位1.4 核

如何使用Lombok进行spring 注入

《如何使用Lombok进行spring注入》本文介绍如何用Lombok简化Spring注入,推荐优先使用setter注入,通过注解自动生成getter/setter及构造器,减少冗余代码,提升开发效... Lombok为了开发环境简化代码,好处不用多说。spring 注入方式为2种,构造器注入和setter

使用zip4j实现Java中的ZIP文件加密压缩的操作方法

《使用zip4j实现Java中的ZIP文件加密压缩的操作方法》本文介绍如何通过Maven集成zip4j1.3.2库创建带密码保护的ZIP文件,涵盖依赖配置、代码示例及加密原理,确保数据安全性,感兴趣的... 目录1. zip4j库介绍和版本1.1 zip4j库概述1.2 zip4j的版本演变1.3 zip4