鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 安全设置 > >

SpringMVC中的XXE漏洞测试

来源:互联网 作者:佚名 时间:2015-04-09 21:24
SpringMVC框架支持XML到Object的映射,内部是使用两个全局接口Marshaller和Unmarshaller,一种实现是使用Jaxb2Marshaller类进行实现,该类自然实现了两个全局接口,用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAXhandler。 Sp
 SpringMVC框架支持XML到Object的映射,内部是使用两个全局接口Marshaller和Unmarshaller,一种实现是使用Jaxb2Marshaller类进行实现,该类自然实现了两个全局接口,用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAX handler。

SpringMVC流行使用注解来快速开发,其中JAXB注解可以对JavaBean中需要与XML进行转化的地方进行标注。比如,实现XML文件到User对象的映射,User对象中使用JAXB注解:
\


当在SpringMVC中使用JAXB实现XML与Java Bean映射的时候,可能会导致XXE漏洞,因为SpringMVC中也可以解析request body中的XML,其原理是在注解模式下,使用注解@RequestBody后,可以将HTTP请求的请求体引入到我们的Controller的方法中,一般是作为方法的参数来使用。在开启annotation-driven的时候,HttpMessageConverter会给AnnotationMethodHandlerAdapter初始化7个转换器。至于Spring是如何选择合适的转换器的,这里没有读源码,猜测应该是通过Accept或者Content-type头来进行判断的。

如果应用程序没有做有效的处理,那么通过构造request body,我们可以实现外部实体的注入。比如,Web应用中使用XML传递数据时,没有对外部实体的引用做限制,就可能导入外部实体,导致任意文件读取。

在测试漏洞中,只需要在配置文件中对注解驱动与ViewResolver进行配置即可,
正常请求时:
\




在请求中标明提交一个application/xml类型的内容,并在request body中提交一个XML,内容为name=exploit。提交请求,转向页面index.jsp,当然,在controller中我们做了一些处理,将转换的user传给了jsp来呈现,代码为:
\
可以看到,控制台上打印了toString方法的内容:


index.jsp结果如下:
\
下面引入外部实体,提交:

[html] view plaincopy在CODE上查看代码片派生到我的代码片 
<?xml version="1.0" encoding="UTF-8"?>   <!DOCTYPE ANY[  
<!ENTITY shit SYSTEM  "file:///c:/1.txt">]>   <user><name>&shit;</name></user>  

这里与上面不同,引入了一个恶意的外部实体shit,并且在回显的位置<name>中使用这个实体,效果是读取c盘下面的1.txt,内容为一串”2”,结果如下:

\

可以看到,外部实体成功引入并且解析,造成了XXE漏洞。

所以,SpringMVC中处理XML类型的请求体时,所用的转换器(Converter)是默认支持外部实体引用的,通过官网的解决方案可以解决该漏洞

网友评论
<