SAX
Java SAX(Simple API for XML)库是一种处理XML(eXtensible Markup Language)文档的标准Java API。SAX库是一种事件驱动的XML解析器,它使用基于事件的回调机制来解析XML文档。在解析过程中,SAX解析器会将XML文档中的每个元素解析成一个事件,并在解析到每个事件时触发相应的回调方法。
下面是SAX库的一些详细说明:
SAX库是基于Java的标准API,因此它可以与任何Java程序一起使用。
SAX库提供了一个处理XML文档的API,可以让开发者从XML文档中获取数据并进行处理。
SAX库是一种轻量级的解析器,它不需要将整个XML文档读入内存,因此可以处理非常大的XML文档。
SAX库使用事件驱动的回调机制,这意味着开发者可以在解析XML文档时指定一些回调方法,以便在解析到特定事件时触发这些回调方法。
SAX库提供了一组默认的回调方法,但也可以通过继承默认处理程序类并覆盖其方法来自定义回调方法。
SAX库可以解析XML文档的所有部分,包括元素、属性、注释和处理指令等。
SAX库还提供了一些辅助类和方法,用于简化XML解析过程和处理解析后的数据。
SAXParserFactory
这个代码可以回显 "XXE" 字符串,但并不能回显解释内容。在 parseXml 方法中,首先创建了一个 SAXParserFactory 实例,然后使用该工厂创建了一个 SAXParser 对象。接着,该方法通过 parser.parse 方法解析传递进来的 xmlData 字符串,解析过程中不会输出任何内容。
复制 package com . example . controller ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import org . xml . sax . helpers . DefaultHandler ;
import org . xml . sax . InputSource ;
import javax . xml . parsers . SAXParserFactory ;
import javax . xml . parsers . SAXParser ;
import java . io . StringReader ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
SAXParserFactory factory = SAXParserFactory . newInstance ();
SAXParser parser = factory . newSAXParser ();
parser . parse ( new InputSource( new StringReader(xmlData)) , new DefaultHandler() );
return "XXE" ;
}
} 要让这段代码回显内容,可以在DefaultHandler的回调方法中添加处理逻辑。在处理XML时,DefaultHandler提供了一些回调方法,我们可以在这些方法中处理我们感兴趣的内容。例如,我们可以重写DefaultHandler的characters方法,当读取到XML文档中的字符数据时,就将其输出到控制台或者返回给调用方。
以下是修改后的代码示例,当读取到XML文档中的字符数据时,会将其输出到控制台:
复制 package com . example . controller ;
import org . xml . sax . SAXException ;
import org . xml . sax . helpers . DefaultHandler ;
public class MyHandler extends DefaultHandler {
private StringBuilder builder = new StringBuilder() ;
@ Override
public void characters ( char [] ch , int start , int length) throws SAXException {
builder . append (ch , start , length);
System . out . println ( "读取到的内容:" + builder . toString ());
}
} 复制 package com . example . controller ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import org . xml . sax . InputSource ;
import javax . xml . parsers . SAXParserFactory ;
import javax . xml . parsers . SAXParser ;
import java . io . StringReader ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
SAXParserFactory factory = SAXParserFactory . newInstance ();
SAXParser parser = factory . newSAXParser ();
MyHandler handler = new MyHandler() ;
parser . parse ( new InputSource( new StringReader(xmlData)) , handler);
return "XXE" ;
}
} 复制 POST /parseXml HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 125
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///C:/1.log" >]>
<foo>&xxe;</foo> 修复代码
复制 SAXParserFactory factory = SAXParserFactory . newInstance ();
factory . setFeature ( "http://apache.org/xml/features/disallow-doctype-decl" , true );
factory . setFeature ( "http://xml.org/sax/features/external-general-entities" , false );
factory . setFeature ( "http://xml.org/sax/features/external-parameter-entities" , false ); 如果攻击会提示不允许使用DOCTYPE
XMLReaderFactory
从Java SE 9开始,XMLReaderFactory.createXMLReader()方法已被标记为弃用,推荐使用SAXParser来创建XMLReader对象。因此,在Java SE 9及更高版本中,您将无法使用XMLReaderFactory.createXMLReader()方法来创建XMLReader对象。
在Java SE 8及更早版本中,XMLReaderFactory.createXMLReader()方法是可用的,但存在XXE漏洞,因此不建议使用它来解析未知来源的XML文件。如果您仍然需要使用这个方法,请确保您使用的是最新的Java SE 8版本,并仅在解析已知安全的XML文件时使用它。
复制 package com . example . controller ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import org . xml . sax . InputSource ;
import org . xml . sax . XMLReader ;
import org . xml . sax . helpers . XMLReaderFactory ;
import java . io . StringReader ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
XMLReader xmlReader = XMLReaderFactory . createXMLReader ();
xmlReader . parse ( new InputSource( new StringReader(xmlData)) );
return "XXE" ;
}
} 修复代码
复制 xmlReader . setFeature ( "http://apache.org/xml/features/disallow-doctype-decl" , true );
xmlReader . setFeature ( "http://xml.org/sax/features/external-general-entities" , false );
xmlReader . setFeature ( "http://xml.org/sax/features/external-parameter-entities" , false ); jdom2
Java JDOM2库是一个基于Java的XML解析和操作库,它提供了一种更加面向对象和易于使用的API来处理XML文档。相对于SAX库和DOM库,JDOM2库在易用性和可读性方面都有很大优势,同时也提供了一些高级特性,如命名空间支持、XPath查询、XML Schema验证等。
下面是JDOM2库的一些详细说明:
JDOM2库是基于Java的标准API,因此可以与任何Java程序一起使用。
JDOM2库提供了一种面向对象的API,开发者可以通过创建XML元素和属性对象来构建XML文档。
JDOM2库提供了一些高级特性,如命名空间支持、XPath查询、XML Schema验证等。
JDOM2库可以将XML文档加载到内存中,并以树形结构表示。开发者可以使用节点对象来遍历和修改XML文档。
JDOM2库支持将XML文档序列化为字符串、文件或流,并提供了一些选项来控制输出格式。
JDOM2库支持解析和生成所有类型的XML文档,包括DTD、XML Schema等。
JDOM2库还提供了一些辅助类和方法,用于简化XML解析过程和处理解析后的数据。
该方法使用了JDOM2的SAXBuilder来解析这个XML字符串,并将其转换为JDOM2的Document对象。然后,它对这个Document对象进行操作,例如读取或修改XML元素。
由于这个方法使用了SAXBuilder,它存在XXE漏洞。攻击者可以在XML数据中包含外部实体,从而读取敏感文件或进行其他恶意操作。
复制 package com . example . controller ;
import org . jdom2 . Document ;
import org . jdom2 . input . sax . XMLReaders ;
import org . jdom2 . output . Format ;
import org . jdom2 . output . XMLOutputter ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import java . io . StringReader ;
import org . jdom2 . input . SAXBuilder ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
SAXBuilder saxBuilder = new SAXBuilder( XMLReaders . NONVALIDATING ) ;
Document document = saxBuilder . build ( new StringReader(xmlData) );
// 对文档进行操作
XMLOutputter outputter = new XMLOutputter( Format . getPrettyFormat()) ;
String xmlString = outputter . outputString (document);
System . out . println (xmlString);
return "XXE" ;
}
} 修复代码
复制 saxBuilder . setFeature ( "http://apache.org/xml/features/disallow-doctype-decl" , true );
saxBuilder . setFeature ( "http://xml.org/sax/features/external-general-entities" , false );
saxBuilder . setFeature ( "http://xml.org/sax/features/external-parameter-entities" , false ); dom4j
Java DOM4J库是一个基于Java的XML解析和操作库,它提供了一种高性能、灵活、易于使用的API来处理XML文档。相对于SAX库和DOM库,DOM4J库在易用性和性能方面都有很大优势,同时也提供了一些高级特性,如XPath查询、XML Schema验证等。
下面是DOM4J库的一些详细说明:
DOM4J库是基于Java的标准API,因此可以与任何Java程序一起使用。
DOM4J库提供了一种高性能的API,开发者可以通过创建XML元素和属性对象来构建XML文档。
DOM4J库提供了一些高级特性,如XPath查询、XML Schema验证等。
DOM4J库可以将XML文档加载到内存中,并以树形结构表示。开发者可以使用节点对象来遍历和修改XML文档。
DOM4J库支持将XML文档序列化为字符串、文件或流,并提供了一些选项来控制输出格式。
DOM4J库支持解析和生成所有类型的XML文档,包括DTD、XML Schema等。
SAXReader
该方法使用了SAXReader来解析这个XML字符串,并将其转换为Dom4j的Document对象。然后,它将Document对象转换为格式化的XML字符串,并使用System.out.println()方法将其输出到控制台上。
由于这个方法使用了SAXReader,它存在XXE漏洞。攻击者可以在XML数据中包含外部实体,从而读取敏感文件或进行其他恶意操作。
复制 package com . example . controller ;
import org . dom4j . Document ;
import org . dom4j . io . SAXReader ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import java . io . StringReader ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
SAXReader reader = new SAXReader() ;
Document document = reader . read ( new StringReader(xmlData) );
String xmlString = document . asXML ();
System . out . println (xmlString);
return "XXE" ;
}
} 修复代码
复制 reader . setFeature ( "http://apache.org/xml/features/disallow-doctype-decl" , true );
reader . setFeature ( "http://xml.org/sax/features/external-general-entities" , false );
reader . setFeature ( "http://xml.org/sax/features/external-parameter-entities" , false ); DocumentHelper
复制 package com . example . controller ;
import org . dom4j . Document ;
import org . dom4j . DocumentHelper ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
Document document = DocumentHelper . parseText (xmlData);
// 对文档进行操作
String xmlString = document . asXML ();
System . out . println (xmlString);
return "XXE" ;
}
} 修复该漏洞只需升级dom4j到2.1.1及以上,该版本及以上禁用了ENTITY;不带ENTITY的PoC不能利用,所以禁用ENTITY即可完成修复。
digester3
Java Digester3库是一个基于Java的XML解析和操作库,它提供了一种基于规则的XML解析和对象创建机制。相对于其他XML解析库,Digester3库可以更加方便地将XML文档转换为Java对象,同时也提供了一些高级特性,如XPath查询、XML Schema验证等。
下面是Digester3库的一些详细说明:
Digester3库是基于Java的标准API,因此可以与任何Java程序一起使用。
Digester3库提供了一种基于规则的XML解析和对象创建机制,开发者可以定义一组规则来指导XML解析过程。
Digester3库支持将XML文档转换为Java对象,通过将XML元素映射到Java对象的属性来实现。
Digester3库提供了一些高级特性,如XPath查询、XML Schema验证等。
Digester3库可以将XML文档加载到内存中,并使用Digester对象解析XML文档。
Digester3库支持解析和生成所有类型的XML文档,包括DTD、XML Schema等。
Digester3库还提供了一些辅助类和方法,用于简化XML解析过程和处理解析后的数据。
复制 package com . example . controller ;
import org . apache . commons . digester . Digester ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import java . io . StringReader ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
Digester digester = new Digester() ;
digester . parse ( new StringReader(xmlData) ); // parse xml
return "XXE" ;
}
} 修复代码
复制 digester.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
digester.setFeature("http://xml.org/sax/features/external-general-entities", false);
digester.setFeature("http://xml.org/sax/features/external-parameter-entities", false); javax.xml
javax.xml是Java语言中提供的一个用于处理XML(eXtensible Markup Language)的标准API集合。该API集合包含了各种处理XML文档的类和接口,包括DOM、SAX、StAX等三种常用的XML解析器,以及JAXB、JAXP等一些用于XML绑定、转换和验证的工具。下面是javax.xml的一些详细说明:
javax.xml是Java语言中的标准API,因此可以与任何Java程序一起使用。
javax.xml提供了各种处理XML文档的类和接口,包括DOM、SAX、StAX等三种常用的XML解析器。
javax.xml还提供了一些用于XML绑定、转换和验证的工具,如JAXB、JAXP等。
javax.xml中的DOM API允许开发者将XML文档加载到内存中,并以树形结构表示。开发者可以使用节点对象来遍历和修改XML文档。
javax.xml中的SAX API是一种事件驱动的XML解析器,它使用基于事件的回调机制来解析XML文档。
javax.xml中的StAX API是一种流式的XML解析器,它允许开发者逐个地处理XML文档中的事件,而不需要将整个文档读入内存。
javax.xml中的JAXB API允许开发者将XML文档转换为Java对象,并将Java对象序列化为XML文档。
javax.xml中的JAXP API提供了一些通用的XML处理工具,如XPath查询、XML Schema验证等。
总之,javax.xml是Java语言中的一个用于处理XML的标准API集合,它提供了各种处理XML文档的类和接口,包括DOM、SAX、StAX等三种常用的XML解析器,以及JAXB、JAXP等一些用于XML绑定、转换和验证的工具。开发者可以根据自己的需要选择适合的API来处理XML文档。
复制 package com . example . controller ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import org . w3c . dom . Document ;
import org . xml . sax . InputSource ;
import javax . xml . parsers . DocumentBuilder ;
import javax . xml . parsers . DocumentBuilderFactory ;
import javax . xml . transform . Transformer ;
import javax . xml . transform . TransformerFactory ;
import javax . xml . transform . dom . DOMSource ;
import javax . xml . transform . stream . StreamResult ;
import java . io . StringReader ;
import java . io . StringWriter ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
DocumentBuilderFactory factory = DocumentBuilderFactory . newInstance ();
DocumentBuilder builder = factory . newDocumentBuilder ();
Document document = builder . parse ( new InputSource( new StringReader(xmlData)) );
String xmlString = getStringFromDocument(document) ;
System . out . println (xmlString);
return "XXE" ;
}
private static String getStringFromDocument ( Document document) throws Exception {
TransformerFactory transformerFactory = TransformerFactory . newInstance ();
Transformer transformer = transformerFactory . newTransformer ();
StringWriter writer = new StringWriter() ;
transformer . transform ( new DOMSource(document) , new StreamResult(writer) );
return writer . getBuffer () . toString ();
}
} 修复代码
复制 factory . setFeature ( "http://apache.org/xml/features/disallow-doctype-decl" , true );
factory . setFeature ( "http://xml.org/sax/features/external-general-entities" , false );
factory . setFeature ( "http://xml.org/sax/features/external-parameter-entities" , false ); XInclude漏洞是一种基于XXE漏洞的攻击,攻击者可以在XML数据中包含XInclude指令,从而注入外部实体和其他恶意代码。XInclude是一种XML规范,用于在XML文档中包含和引用其他XML文档。当XML解析器支持XInclude时,它会在解析XML数据时加载外部实体,从而导致安全问题。
复制 package com . example . controller ;
import org . springframework . web . bind . annotation . PostMapping ;
import org . springframework . web . bind . annotation . RequestBody ;
import org . springframework . web . bind . annotation . RestController ;
import org . w3c . dom . Document ;
import org . xml . sax . InputSource ;
import javax . xml . parsers . DocumentBuilder ;
import javax . xml . parsers . DocumentBuilderFactory ;
import javax . xml . transform . Transformer ;
import javax . xml . transform . TransformerFactory ;
import javax . xml . transform . dom . DOMSource ;
import javax . xml . transform . stream . StreamResult ;
import java . io . StringReader ;
import java . io . StringWriter ;
@ RestController
public class XxeController {
@ PostMapping ( "/parseXml" )
public String parseXml (@ RequestBody String xmlData) throws Exception {
DocumentBuilderFactory factory = DocumentBuilderFactory . newInstance ();
factory . setXIncludeAware ( true ); //支持XInclude
factory . setNamespaceAware ( true );
factory . setExpandEntityReferences ( true );
DocumentBuilder builder = factory . newDocumentBuilder ();
Document document = builder . parse ( new InputSource( new StringReader(xmlData)) );
String xmlString = getStringFromDocument(document) ;
System . out . println (xmlString);
return "XXE" ;
}
private static String getStringFromDocument ( Document document) throws Exception {
TransformerFactory transformerFactory = TransformerFactory . newInstance ();
Transformer transformer = transformerFactory . newTransformer ();
StringWriter writer = new StringWriter() ;
transformer . transform ( new DOMSource(document) , new StreamResult(writer) );
return writer . getBuffer () . toString ();
}
} 复制 <? xml version = "1.0" ?>
<! DOCTYPE foo [
<!ELEMENT foo ANY >
<! ENTITY xxe SYSTEM "file:///C:/1.log" >]>
< foo xmlns : xi = "http://www.w3.org/2001/XInclude" >
< xi : include href = "file:///C:/1.log" parse = "text" />
< data >&xxe;</ data >
</ foo > 
