前段时间被爆出微信支付sdk漏洞,吓得赶紧去项目里看了下微信的SDK(虽然没多少人使用),发现使用的微信sdk不是当前发布的最新的SDK,也就没有使用下面的DocumentBuilderFactory来解析xml,其实不仅是微信的SDK,所有使用xml的地方都需要注意。
DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
先说一下使用这个的怎么修复吧,很简单加入一句代码就行,如下:
documentBuilderFactory.setExpandEntityReferences(false);
然后我发现我的项目里没有使用DocumentBuilderFactory,但是有一个SAXBuilder,代码如下:
SAXBuilder builder = new SAXBuilder();
Document doc = builder.build(in);
那这个SAXBuilder是什么呢,用这个会不会也有漏洞呢?
看了下SAXBuilder源码英文不好就不乱说了,百度到的解释:SAXBuilder是一个JDOM解析器,能将路径中的XML文件解析为Document对象,看到这是不是明白了,这也有可能会导致XXE漏洞(XML外部实体注入漏洞)。
系统能够接收并解析用户的xml,在xml未禁用DTD、Entity时,可能导致命令执行漏洞的发生。所以Java解析xml的常用第三方库,如果不禁用DTD、Entity都会导致XXE漏洞。下面是一些常用的第三方库
javax.xml.stream.XMLStreamReader;
javax.xml.parsers.DocumentBuilderFactory;
org.dom4j.io.SAXReader;
org.xml.sax.helpers.XMLReaderFactory;
javax.xml.parsers.SAXParser;
javax.xml.parsers.DocumentBuilder;
org.jdom.input.SAXBuilder;
org.dom4j.DocumentHelper;
org.jdom.output.XMLOutputter;
那如何解决这个漏洞呢,参考了一下微信官方文档的提示和一些资料,需要加入以下代码:
SAXBuilder builder = new SAXBuilder();
//下面是添加的代码
String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
builder.setFeature(FEATURE, true);
FEATURE = "http://xml.org/sax/features/external-general-entities";
builder.setFeature(FEATURE, false);
FEATURE = "http://xml.org/sax/features/external-parameter-entities";
builder.setFeature(FEATURE, false);
FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
builder.setFeature(FEATURE, false);
然后就可以了
参考文章
微信官方文档 https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5
小谷先生的文章中的Java解析XML的常用三方库 https://www.jianshu.com/p/960f0b4629b3