关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补
7月4日微信发来通知说存在XML实体注入漏洞,请修改。
由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。
最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实现,其实也是SAXReader实现的,再查看SAXReader源码,里面也有一个方式setFeature,于是找到了处理方式
Document doc = null;
SAXReader reader = new SAXReader();
try{
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
}
catch (SAXException e) {
// On Apache, this should be thrown when disallowing DOCTYPE
wtbapi.Log.log("A DOCTYPE was passed into the XML document","GJ.java文件错误2");
}
String encoding = getEncoding(str);
InputSource source = new InputSource(new StringReader(str));
source.setEncoding(encoding);
doc = reader.read(source);
if (doc.getXMLEncoding() == null) {
doc.setXMLEncoding(encoding);
}
其中getEncoding(String)方法是DocumentHelper内部的方式
private static String getEncoding(String text)
{
String result = null;
String xml = text.trim();
if (xml.startsWith(" {
int end = xml.indexOf("?>");
String sub = xml.substring(0, end);
StringTokenizer tokens = new StringTokenizer(sub, " =\"'");
while (tokens.hasMoreTokens())
{
String token = tokens.nextToken();
if ("encoding".equals(token))
{
if (!tokens.hasMoreTokens()) {
break;
}
result = tokens.nextToken(); break;
}
}
}
return result;
}
有三个包要引入一下
import org.xml.sax.InputSource;
import org.xml.sax.SAXException;
import java.util.StringTokenizer;