热门标签
热门文章
- 1【Docker】初学者 Docker 基础操作指南:从拉取镜像到运行、停止、删除容器_docker停止一个镜像的拉取
- 2NodeManager启动流程与服务
- 3Memcached开发(八):使用PHP进行操作
- 4Websocket携带参数或者携带自定义头的解决方案_websocket能添加请求头吗
- 5xshell的完美替代品:FinalShell及其操作介绍_finalshell默认字体是什么
- 6android 动态更换应用图标(一)_view.changeicon
- 7NoSQL数据库进阶实战 2,NoSQL数据存储模式_列族数据库
- 8大数据集群:hadoop3.3.6,spark,hbase,zookeeper_hbase-2.5.8-hadoop3-bin
- 9mac数字键盘错乱_苹果本键盘按键错位错乱是为什么?
- 10Andrej Karpathy | 详解神经网络和反向传播(基于micrograd)
当前位置: article > 正文
java防止xxe漏洞_saxreader解析xml 避免xxe漏洞
作者:代码探险家 | 2024-07-15 04:27:59
赞
踩
saxreader解析xml 避免xxe漏洞
关于xml的xxe漏洞的处理
xml通过xxe可以执行远程代码。在xml中植入:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE nsfocus-sec [
<!ELEMENT methodname ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall>
<methodname>&xxe;</methodname>
</methodcall>
篡改以后,如果可读取file文件或者达到植入命令的效果,则说明存在该漏洞。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
在java代码中设置:
SAXReader reader = new SAXReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); // Compliant
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
- 1
- 2
- 3
- 4
- 5
那么读取是会检测DOCTYPE并抛出异常。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/代码探险家/article/detail/827709
推荐阅读
相关标签
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。
