JAXB血案之 XML外部實體注入漏洞(XXE)
開始正文之前,我們的口號是:代碼很有趣,安全很重要。
什麼?你問我累了怎麼辦?自然是看美女了,送福利哈哈。
1.漏洞描述
XML外部實體注入漏洞,即XXE(XML External Entity),此漏洞發生在應用程序解析XML輸入時,沒有禁止外部實體的加載,導致可加載惡意外部文件,造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起dos攻擊等危害。
2.JAXB是什麼?
JAXB實現了java對象與xml之間的轉換,使用的註解主要有:
(1)@XmlRootElement:用於類級別的註釋,對應XML的根節點。參數:
name 定義這個根節點的名稱
namespace 定義這個根節點命名空間
(2)@XmlAccessorType:用於指定由Java對象生成xml文件時對Java對象屬性的訪問方式。可接收4個參數:
XmlAccessType.FIELD:Java對象中的所有成員變量;
XmlAccessType.PROPERTY:Java對象中所有通過getter/setter方式訪問的成員變量;
XmlAccessType.PUBLIC_MEMBER:Java對象中所有的public訪問權限成員變量和通過getter/setter方式訪問的成員變量;
XmlAccessType.NONE:Java對象的所有屬性都不映射爲xml元素。
(3)@XmlElement:將Java對象的屬性映射爲xml的節點,在使用@XmlElement時,可通過name屬性改變java對象屬性在xml中顯示的名稱。
(4)@XmlAttribute:將Java對象的屬性映射爲xml的屬性,並且可通過name屬性爲生成的xml屬性指定別名。
(5)@XmlTransient:定義某一字段或屬性不需要被映射爲XML。
(6)@XmlType:用於在類的註解,定義映射的一些相關規則。
(7)@XmlElementWrapper:爲數組元素或集合元素定義一個父節點。
(8)@XmlJavaTypeAdapter:自定義某一字段或屬性映射到XML的適配器。
3.代碼詳情
(1)編寫對象類Student.java
package com.jaxb;
import javax.xml.bind.annotation.XmlAccessType;
import javax.xml.bind.annotation.XmlAccessorType;
import javax.xml.bind.annotation.XmlElement;
import javax.xml.bind.annotation.XmlRootElement;
@XmlRootElement
@XmlAccessorType(XmlAccessType.FIELD)
public class Student {
@XmlElement(name = "name")
private String name;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
@Override
public String toString() {
return "Student [name=" + name + "]";
}
}
(2)測試類TestJaxb.java
package com.jaxb;
import java.io.FileInputStream;
import java.io.StringReader;
import java.io.StringWriter;
import javax.xml.bind.JAXBContext;
import javax.xml.bind.Marshaller;
import javax.xml.bind.Unmarshaller;
import javax.xml.stream.XMLInputFactory;
import javax.xml.stream.XMLStreamReader;
public class TestJaxb {
//讀取文件
public static String readContent(String file) throws Exception {
FileInputStream input = new FileInputStream(file);
byte[] content = new byte[2 * 1024];
int realBytes = input.read(content);
input.close();
return new String(content, 0, realBytes, "UTF-8");
}
//對象轉xml
public static String objectToXML(Class<?> klass, Object obj) throws Exception {
JAXBContext jaxbContext = JAXBContext.newInstance(klass);
Marshaller marshaller = jaxbContext.createMarshaller();
marshaller.setProperty(Marshaller.JAXB_FORMATTED_OUTPUT, Boolean.TRUE);
marshaller.setProperty(Marshaller.JAXB_ENCODING, "UTF-8");
marshaller.setProperty(Marshaller.JAXB_FRAGMENT, false);
StringWriter writer = new StringWriter();
marshaller.marshal(obj, writer);
writer.close();
return writer.toString();
}
//xml轉對象,存在漏洞
public static Object xmlToObject(Class<?> klass, String xml) throws Exception {
JAXBContext context = JAXBContext.newInstance(klass);
Unmarshaller unmarshaller = context.createUnmarshaller();
return unmarshaller.unmarshal(new StringReader(xml));
}
//xml轉對象安全寫法
public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {
JAXBContext context = JAXBContext.newInstance(klass);
Unmarshaller unmarshaller = context.createUnmarshaller();
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);
XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));
return unmarshaller.unmarshal(xsr);
}
public static void main(String[] args) throws Exception {
String xml = readContent("f:/home/root/student.xml");
Object obj = xmlToObject(Student.class,xml);
System.out.println(objectToXML(Student.class,obj));
}
}
student.xml的內容:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE student[
<!ENTITY out SYSTEM "file:///f:/home/passwd.txt">
]>
<student>
<name>&out;</name>
</student>
passwd.txt的內容:
root:root
運行截圖:
可以看到漏洞存在,讀取了passwd.txt的內容。
4.修復建議
限制外部實體的解析,修改方案可參考以下代碼:
//xml轉對象安全寫法
public static Object xmlToObjectSafe(Class<?> klass, String xml) throws Exception {
JAXBContext context = JAXBContext.newInstance(klass);
Unmarshaller unmarshaller = context.createUnmarshaller();
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
xif.setProperty(XMLInputFactory.SUPPORT_DTD, true);
XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(xml));
return unmarshaller.unmarshal(xsr);
}
運行截圖:
5.幫助
如果發生如下報錯,可以添加JAXB的依賴,jaxb-impl-2.1.6.jar和jaxb-api-2.1.jar。