| SpringMVC框架支持XML到Object的映射,内部是使用两个全局接口Marshaller和Unmarshaller,一种实现是使用Jaxb2Marshaller类进行实现,该类自然实现了两个全局接口,用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAX handler。
SpringMVC流行使用注解来快速开发,其中JAXB注解可以对JavaBean中需要与XML进行转化的地方进行标注。比如,实现XML文件到User对象的映射,User对象中使用JAXB注解: 当在SpringMVC中使用JAXB实现XML与Java Bean映射的时候,可能会导致XXE 漏洞,因为SpringMVC中也可以解析request body中的XML,其原理是在注解模式下,使用注解@RequestBody后,可以将HTTP请求的请求体引入到我们的Controller的方法中,一般是作为方法的参数来使用。在开启annotation-driven的时候,HttpMessageConverter会给AnnotationMethodHandlerAdapter初始化7个转换器。至于Spring是如何选择合适的转换器的,这里没有读 源码,猜测应该是通过Accept或者Content-type头来进行判断的。 如果应用程序没有做有效的处理,那么通过构造request body,我们可以实现外部实体的注入。比如,Web应用中使用XML传递数据时,没有对外部实体的引用做限制,就可能导入外部实体,导致任意文件读取。 在测试漏洞中,只需要在配置文件中对注解驱动与ViewResolver进行配置即可, 在请求中标明提交一个application/xml类型的内容,并在request body中提交一个XML,内容为name=exploit。提交请求,转向页面index. jsp,当然,在controller中我们做了一些处理,将转换的user传给了jsp来呈现,代码为: index.jsp结果如下: [ html] view plaincopy 这里与上面不同,引入了一个恶意的外部实体shit,并且在回显的位置<name>中使用这个实体,效果是读取c盘下面的1.txt,内容为一串”2”,结果如下:
可以看到,外部实体成功引入并且解析,造成了XXE漏洞。 所以,SpringMVC中处理XML类型的请求体时,所用的转换器(Converter)是默认支持外部实体引用的,通过官网的解决方案可以解决该漏洞 |
-
上一篇: 利用人人网某处设计缺陷攻击内网应用 - 网站安全 - 自学php网
下一篇: 格式化字符串漏洞实验 - 网站安全 - 自学php网
还没有人抢沙发呢~