XML 분석 에 존재 하 는 안전 문제 안내

최근 한동안 불 거 진 위 챗 결제 의 XML 해석 에 존재 하 는 보안 문제,주요 문 제 는 XML 외부 실체 주입 구멍(XML External Entity Injection,약칭 XXE)이다.이 보안 문 제 는 XML 구성 요소 가 기본적으로 외부 실체 인용 을 사용 하지 않 아 위 챗 결제 시스템 에 구멍 이 생 겼 다 는 것 이다.위 챗 공식 응답,원문 주소:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5.결제 업무 리 셋 알림 을 사용 할 때 다음 장면 에서 XML 로 분석 한 상황 이 존재 한다 면 예방 여 부 를 확인 해 야 합 니 다.
장면 1:지불 성공 알림장면 2:환불 성공 알림장면 3:위탁 공제 계약,계약 해 지,공제 통지장면 4:차주 계약 해제 알림 장면 5:스 캔 결제 모델 1 회 조정위 챗 공식 SDK 가 업그레이드 되 었 습 니 다.그 중에서 관련 코드 는 예방 을 했 습 니 다.다음 과 같 습 니 다.

package com.github.wxpay.sdk;

import org.w3c.dom.Document;

import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;

/**
 * 2018/7/3
 */
public final class WXPayXmlUtil {
    public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
        DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
        documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
        documentBuilderFactory.setXIncludeAware(false);
        documentBuilderFactory.setExpandEntityReferences(false);

        return documentBuilderFactory.newDocumentBuilder();
    }

    public static Document newDocument() throws ParserConfigurationException {
        return newDocumentBuilder().newDocument();
    }
}

공식 SDK 를 사용 하지 않 고 직접 해석 한 것 이 라면 아래 코드 를 참고 하 십시오.

package com.jianggujin.magicpay.util;

import javax.xml.XMLConstants;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;
import javax.xml.parsers.SAXParser;
import javax.xml.parsers.SAXParserFactory;
import javax.xml.stream.XMLInputFactory;
import javax.xml.transform.TransformerFactory;

import org.w3c.dom.Document;
import org.xml.sax.SAXException;
import org.xml.sax.XMLReader;
import org.xml.sax.helpers.XMLReaderFactory;

/**
 * XML  
 * 
 * @author jianggujin
 *
 */
public class JXMLUtils {
   private final static String FRATURE_DISALLOW_DOCTYPE_DECL = "http://apache.org/xml/features/disallow-doctype-decl";
   private final static String FRATURE_EXTERNAL_GENERAL_ENTITIES = "http://xml.org/sax/features/external-general-entities";
   private final static String FRATURE_EXTERNAL_PARAMETER_ENTITIES = "http://xml.org/sax/features/external-parameter-entities";
   private final static String FRATURE_LOAD_EXTERNAL_DTD = "http://apache.org/xml/features/nonvalidating/load-external-dtd";

   public static DocumentBuilder newDocumentBuilder() throws ParserConfigurationException {
      DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
      documentBuilderFactory.setFeature(FRATURE_DISALLOW_DOCTYPE_DECL, true);
      documentBuilderFactory.setFeature(FRATURE_EXTERNAL_GENERAL_ENTITIES, false);
      documentBuilderFactory.setFeature(FRATURE_EXTERNAL_PARAMETER_ENTITIES, false);
      documentBuilderFactory.setFeature(FRATURE_LOAD_EXTERNAL_DTD, false);
      // documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING,
      // true);
      documentBuilderFactory.setXIncludeAware(false);
      documentBuilderFactory.setExpandEntityReferences(false);
      return documentBuilderFactory.newDocumentBuilder();
   }

   public static Document newDocument() throws ParserConfigurationException {
      return newDocumentBuilder().newDocument();
   }

   public static SAXParserFactory newSAXParserFactory() throws ParserConfigurationException, SAXException {
      SAXParserFactory saxParserFactory = SAXParserFactory.newInstance();
      saxParserFactory.setFeature(FRATURE_EXTERNAL_GENERAL_ENTITIES, false);
      saxParserFactory.setFeature(FRATURE_EXTERNAL_PARAMETER_ENTITIES, false);
      saxParserFactory.setFeature(FRATURE_LOAD_EXTERNAL_DTD, false);
      return saxParserFactory;
   }

   public static SAXParser newSAXParser() throws ParserConfigurationException, SAXException {
      return newSAXParserFactory().newSAXParser();
   }

   public static XMLReader newXMLReader() throws SAXException {
      XMLReader reader = XMLReaderFactory.createXMLReader();
      reader.setFeature(FRATURE_DISALLOW_DOCTYPE_DECL, true);
      // This may not be strictly required as DTDs shouldn't be allowed at all,
      // per previous line.
      reader.setFeature(FRATURE_LOAD_EXTERNAL_DTD, false);
      reader.setFeature(FRATURE_EXTERNAL_GENERAL_ENTITIES, false);
      reader.setFeature(FRATURE_EXTERNAL_PARAMETER_ENTITIES, false);
      return reader;
   }

   public static TransformerFactory newTransformerFactory() {
      TransformerFactory transformerFactory = TransformerFactory.newInstance();
      transformerFactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
      transformerFactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
      return transformerFactory;
   }

   public static XMLInputFactory newXMLInputFactory() {
      XMLInputFactory xmlInputFactory = XMLInputFactory.newInstance();
      // This disables DTDs entirely for that factory
      xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
      // disable external entities
      xmlInputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);
      return xmlInputFactory;
   }
}

dom4j

saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false);
saxReader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

jdom

SAXBuilder builder = new SAXBuilder();
builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
builder.setFeature("http://xml.org/sax/features/external-general-entities", false);
builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
Document doc = builder.build(new File(fileName));

더 많은 해결 방안 은 참고 하 시기 바 랍 니 다.https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#C.2FC.2B.2B

이 내용에 흥미가 있습니까?

현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:

JAVA 객체 작성 및 제거 방법

정적 공장 방법 정적 공장 방법의 장점 를 반환할 수 있습니다. 정적 공장 방법의 단점 류 공유되거나 보호된 구조기를 포함하지 않으면 이불류화할 수 없음 여러 개의 구조기 파라미터를 만났을 때 구축기를 고려해야 한다...

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.

XML 분석 에 존재 하 는 안전 문제 안내

좋은 웹페이지 즐겨찾기