3

我目前有一个使用 jersey-server 1.1 框架创建的简单 xml 端点(示例)。它使用以下表示法使用和生成 XML:

@POST
@Path("/post")
@Consumes(MediaType.APPLICATION_XML)
@Produces(MediaType.APPLICATION_XML)
public Response getEmployee(Employee employee) {
     return Response.status(Status.OK).entity(employee).build();
}

但是端点容易受到 XXE 攻击。(示例)它也可以让我的服务器使用这个符号来请求任何端点......

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE test [
<!ENTITY % a SYSTEM "file:///etc/passwd">
%a;
]>

我想要一种保护服务器的方法,并且不允许它调用其他服务器/向攻击者提供文件。

有没有办法做到这一点,因为包括 XML 读取在内的所有内容都来自框架本身?@Consumes(MediaType.APPLICATION_XML)

我认为我可以做到这一点的唯一方法是以某种方式在请求正文上使用正则表达式和过滤器?阻止DOCTYPE,请求并返回错误SYSTEMENTITY但我想知道是否有更简单的方法来执行此操作并覆盖的默认行为@Consumes(MediaType.APPLICATION_XML)

4

3 回答 3

1

我将仅解决 XXE 问题,因为该问题对于要解决的其他特定身份验证/授权问题并不完全清楚。

Blaise 使用基本 JAXB 防止 XXE 的方法开始,需要做的是获得对提供的 XML 的较低级别的访问。好东西泽西开箱即用地支持这一点。一种方法是EmployeeStreamSource.

  1. 首先掌握现有的JAXBContext

    private final @Context Providers providers; //full list of all providers available

  2. 修改您的界面以接受 aStreamSource以便您可以访问原始传入 XML:

    @POST
@Path("/post")
@Consumes(MediaType.APPLICATION_XML)
@Produces(MediaType.APPLICATION_XML)
public Response getEmployee(StreamSource employeeStreamSource)

  3. 配置 JAXBContext 解组器以忽略 DTD:

    public Response getEmployee(StreamSource employeeStreamSource){
    //we try to get a hold of the JAXBContext
    ContextResolver<JAXBContext> jaxbResolver = provider.getContextResolver(JAXBContext.class, MediaType.APPLICATION_XML_TYPE);
    JAXBContext jaxbContext= null;
    if(null != jaxbResolver) {
        jaxbContext = jaxbResolver.getContext(Employee.class);
    }
    if(null == jaxbContext) {
        jaxbContext = JAXBContext.newInstance(Employee.class);
    }

    XMLInputFactory xif = XMLInputFactory.newFactory();
    xif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false); //Don't blindly parse entities
    xif.setProperty(XMLInputFactory.SUPPORT_DTD, false); //suppress DTD
    XMLStreamReader xsr = xif.createXMLStreamReader(employeeStreamSource); //beging parsing incoming XML

    Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();
    Employee employee= (Employee) unmarshaller.unmarshal(xsr);  //manually unmarshal

    return Response.status(Status.OK).entity(employee).build();

}
于 2019-06-03T06:10:37.947 回答
0

您需要禁用http://apache.org/xml/features/nonvalidating/load-external-dtd详细描述的http://xml.org/sax/features/validation功能

  /* Set features to turn off loading of external DTDs. */
    mDocumentBuilderFactoryDelegateBuilderFactory.setFeature(
       LOADEXTERNALDTD_FEATURE, false);
    mDocumentBuilderFactoryDelegateBuilderFactory.setFeature(
       XML_VALIDATION_FEATURE, false);

Java 系统属性可以在运行时以编程方式进行操作,我提出了用包装器动态替换当前文档构建器工厂的想法,该包装器在文档构建器工厂的新实例上设置某些功能。据说设置这些特性会导致在解析包含此类引用的 XML 时忽略对 DTD 文档的引用。

更短的代码

  DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
     dbf.setValidating(false);
     dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
     DocumentBuilder db = dbf.newDocumentBuilder();
     Document doc = db.parse(iStream);
于 2019-06-03T07:07:03.583 回答
0

我遇到了同样的问题,不幸的是,上述解决方案仅有条件地适用于只有 XML 传输类型的服务。同时支持 XML 和 JSON 的服务的实现效率不高。

我在 jersey 存储库的 Github 上找到了这个讨论https://github.com/eclipse-ee4j/jersey/issues/3446 ,自 2020 年 3 月以来,该问题似乎已在2.33版中得到修复:

将 Jersey 依赖升级到 2.33

我认为这比修改每项服务要容易得多。

于 2021-06-24T14:02:42.893 回答