《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)

2024-01-24 19:08
文章标签 java xml 代码 漏洞 注入 外部 审计 实体 xxe 血案 jaxb

本文主要是介绍《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1.漏洞描述

XML外部实体注入漏洞,即XXE(XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。

2.JAXB是什么?

JAXB实现了java对象与xml之间的转换,使用的注解主要有:

(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。参数:

name  定义这个根节点的名称

namespace   定义这个根节点命名空间

(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。可接收4个参数:

XmlAccessType.FIELD:Java对象中的所有成员变量;

XmlAccessType.PROPERTY:Java对象中所有通过getter/setter方式访问的成员变量;

XmlAccessType.PUBLIC_MEMBER:Java对象中所有的public访问权限成员变量和通过getter/setter方式访问的成员变量;

XmlAccessType.NONE:Java对象的所有属性都不映射为xml元素。

(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。

(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。

(5)@XmlTransient:定义某一字段或属性不需要被映射为XML。

(6)@XmlType:用于在类的注解,定义映射的一些相关规则。

(7)@XmlElementWrapper:为数组元素或集合元素定义一个父节点。

(8)@XmlJavaTypeAdapter:自定义某一字段或属性映射到XML的适配器。

3.漏洞复现

(1)编写对象类Student.java

package com.jaxb;
import javax.xml.bind.annotation.XmlAccessType;
import javax.xml.bind.annotation.XmlAccessorType;
import javax.xml.bind.annotation.XmlElement;
import javax.xml.bind.annotation.XmlRootElement;@XmlRootElement
@XmlAccessorType(XmlAccessType.FIELD)
public class Student {@XmlElement(name = "name")private String name;public String getName() {return name;}public void setName(String name) {this.name = name;}@Overridepublic String toString() {return "Student [name=" + name + "]";}}

(2)测试类TestJaxb.java

package com.jaxb;import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;
import javax.xml.bind.JAXBContext;
import javax.xml.bind.Marshaller;
import javax.xml.bind.Unmarshaller;
import javax.xml.stream.XMLInputFactory;
import javax.xml.stream.XMLStreamReader;public class TestJaxb {//读取文件public static String readContent(String file) throws Exception {FileInputStream input = new FileInputStream(file);byte[] content = new byte[2 * 1024];int realBytes = input.read(content);input.close();return new String(content, 0, realBytes, "UTF-8");}//对象转xmlpublic static String objectToXML(Class<?> klass, Object obj) throws Exception {JAXBContext jaxbContext = JAXBContext.newInstance(klass);Marshaller marshaller = jaxbContext.createMarshaller();marshaller.setProperty(Marshaller.JAXB_FORMATTED_OUTPUT, Boolean.TRUE);marshaller.setProperty(Marshaller.JAXB_ENCODING, "UTF-8");marshaller.setProperty(Marshaller.JAXB_FRAGMENT, false);StringWriter writer = new StringWriter();marshaller.marshal(obj, writer);writer.close();return writer.toString();}//xml转对象,存在漏洞public static Object xmlToObject(Class<?> klass, String xml) throws Exception {JAXBContext context = JAXBContext.newInstance(klass);Unmarshaller unmarshaller = context.createUnmarshaller();return unmarshaller.unmarshal(new StringReader(xml));}//xml转对象安全写法public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {JAXBContext context = JAXBContext.newInstance(klass);Unmarshaller unmarshaller = context.createUnmarshaller();XMLInputFactory xif = XMLInputFactory.newFactory();xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));return unmarshaller.unmarshal(xsr);	}public static void main(String[] args) throws Exception {String xml = readContent("f:/home/root/student.xml");Object obj = xmlToObject(Student.class,xml);System.out.println(objectToXML(Student.class,obj));}
}

student.xml的内容:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE student[ <!ENTITY out SYSTEM "file:///f:/home/passwd.txt">  ]><student><name>&out;</name>
</student>

passwd.txt的内容:

root:root

运行截图:

可以看到漏洞存在,读取了passwd.txt的内容。

4.修复建议

限制外部实体的解析,修改方案可参考以下代码:

注意这里只禁止了外部实体的解析,已经可以防御XXE了,没有禁止DTDs,禁止DTDs有的时候会报错,当然最好的解决方案是也禁止DTDs:xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);

//xml转对象安全写法public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {JAXBContext context = JAXBContext.newInstance(klass);Unmarshaller unmarshaller = context.createUnmarshaller();XMLInputFactory xif = XMLInputFactory.newFactory();xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));return unmarshaller.unmarshal(xsr);	}

运行截图:

5.帮助

如果发生如下报错,可以添加JAXB的依赖,jaxb-impl-2.1.6.jar和jaxb-api-2.1.jar。

这篇关于《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/640698

相关文章

Java编译生成多个.class文件的原理和作用

Java编译生成多个.class文件的原理和作用

《Java编译生成多个.class文件的原理和作用》作为一名经验丰富的开发者,在Java项目中执行编译后,可能会发现一个.java源文件有时会产生多个.class文件,从技术实现层面详细剖析这一现象... 目录一、内部类机制与.class文件生成成员内部类(常规内部类)局部内部类(方法内部类)匿名内部类二、
阅读更多...
SpringBoot实现数据库读写分离的3种方法小结

SpringBoot实现数据库读写分离的3种方法小结

《SpringBoot实现数据库读写分离的3种方法小结》为了提高系统的读写性能和可用性,读写分离是一种经典的数据库架构模式,在SpringBoot应用中,有多种方式可以实现数据库读写分离,本文将介绍三... 目录一、数据库读写分离概述二、方案一:基于AbstractRoutingDataSource实现动态
阅读更多...
Springboot @Autowired和@Resource的区别解析

Springboot @Autowired和@Resource的区别解析

《Springboot@Autowired和@Resource的区别解析》@Resource是JDK提供的注解,只是Spring在实现上提供了这个注解的功能支持,本文给大家介绍Springboot@... 目录【一】定义【1】@Autowired【2】@Resource【二】区别【1】包含的属性不同【2】@
阅读更多...
springboot循环依赖问题案例代码及解决办法

springboot循环依赖问题案例代码及解决办法

《springboot循环依赖问题案例代码及解决办法》在SpringBoot中,如果两个或多个Bean之间存在循环依赖(即BeanA依赖BeanB,而BeanB又依赖BeanA),会导致Spring的... 目录1. 什么是循环依赖?2. 循环依赖的场景案例3. 解决循环依赖的常见方法方法 1:使用 @La
阅读更多...
Java枚举类实现Key-Value映射的多种实现方式

Java枚举类实现Key-Value映射的多种实现方式

《Java枚举类实现Key-Value映射的多种实现方式》在Java开发中,枚举(Enum)是一种特殊的类,本文将详细介绍Java枚举类实现key-value映射的多种方式,有需要的小伙伴可以根据需要... 目录前言一、基础实现方式1.1 为枚举添加属性和构造方法二、http://www.cppcns.co
阅读更多...
Elasticsearch 在 Java 中的使用教程

Elasticsearch 在 Java 中的使用教程

《Elasticsearch在Java中的使用教程》Elasticsearch是一个分布式搜索和分析引擎,基于ApacheLucene构建,能够实现实时数据的存储、搜索、和分析,它广泛应用于全文... 目录1. Elasticsearch 简介2. 环境准备2.1 安装 Elasticsearch2.2 J
阅读更多...
使用C#代码在PDF文档中添加、删除和替换图片

使用C#代码在PDF文档中添加、删除和替换图片

《使用C#代码在PDF文档中添加、删除和替换图片》在当今数字化文档处理场景中,动态操作PDF文档中的图像已成为企业级应用开发的核心需求之一,本文将介绍如何在.NET平台使用C#代码在PDF文档中添加、... 目录引言用C#添加图片到PDF文档用C#删除PDF文档中的图片用C#替换PDF文档中的图片引言在当
阅读更多...
Java中的String.valueOf()和toString()方法区别小结

Java中的String.valueOf()和toString()方法区别小结

《Java中的String.valueOf()和toString()方法区别小结》字符串操作是开发者日常编程任务中不可或缺的一部分,转换为字符串是一种常见需求,其中最常见的就是String.value... 目录String.valueOf()方法方法定义方法实现使用示例使用场景toString()方法方法
阅读更多...
Java中List的contains()方法的使用小结

Java中List的contains()方法的使用小结

《Java中List的contains()方法的使用小结》List的contains()方法用于检查列表中是否包含指定的元素,借助equals()方法进行判断,下面就来介绍Java中List的c... 目录详细展开1. 方法签名2. 工作原理3. 使用示例4. 注意事项总结结论:List 的 contain
阅读更多...
C#使用SQLite进行大数据量高效处理的代码示例

C#使用SQLite进行大数据量高效处理的代码示例

《C#使用SQLite进行大数据量高效处理的代码示例》在软件开发中,高效处理大数据量是一个常见且具有挑战性的任务,SQLite因其零配置、嵌入式、跨平台的特性,成为许多开发者的首选数据库,本文将深入探... 目录前言准备工作数据实体核心技术批量插入:从乌龟到猎豹的蜕变分页查询:加载百万数据异步处理:拒绝界面
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2