web安全 XML实体注入风险

描述

 

XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文件未经授权的访问权限,扫描远程计算机,并拒绝远程系统的服务。

 

下面的 XML 文档介绍了 XXE 攻击的示例。



]>&xxe;

 

如果 XML 解析器尝试使用 /dev/random 文件中的内容来替代实体,则此示例会使服务器(使用 UNIX 系统)崩溃。

 

 

解决方案

 

 

应对 XML 解析器进行安全配置,使它不允许将外部实体包含在传入的 XML 文档中。

 

为了避免XXE injections,应为XML代理、解析器或读取器设置下面的属性:

factory.setFeature("http://xml.org/sax/features/external-general-entities",false);

factory.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

 

如果不需要 inline DOCTYPE 声明,可使用以下属性将其完全禁用:

factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

 

要保护 TransformerFactory,应设置下列功能:

TransformerFactory transFact =TransformerFactory.newInstance();

transFact.setFeature(XMLConstants.ACCESS_EXTERNAL_DTD,false);

Transformer trans =transFact.newTransformer(xsltSource);

trans.transform(xmlSource, result);

 

或者,也可以使用安全配置的 XMLReader 来设置转换源:

XMLReader reader =XMLReaderFactory.createXMLReader();

reader.setFeature("http://xml.org/sax/features/external-general-entities",false);

reader.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

Source xmlSource = new SAXSource(reader,new InputSource(new FileInputStream(xmlFile)));

Source xsltSource = new SAXSource(reader,new InputSource(new FileInputStream(xsltFile)));

Result result = newStreamResult(System.out);

TransformerFactory transFact =TransformerFactory.newInstance();

Transformer trans =transFact.newTransformer(xsltSource);

trans.transform(xmlSource, result);

 

最后欢迎大家访问我的个人网站:1024s

你可能感兴趣的:(系统安全性和保密性)