java中禁止外部實體引用的設(shè)置方法不止一種，這樣就導(dǎo)致有些開發(fā)者修復(fù)的時候采用的錯誤的方法

之所以寫這篇文章是有原因的！最早是有朋友在群里發(fā)了如下一個pdf，

?

?而當(dāng)時已經(jīng)是2019年1月末了，應(yīng)該不是2018年7月份那個引起較大轟動的alipay java sdk的了，我突然虎軀一震，該不是。。。

進去看了一下，果然是我前不久在github給WxJava提的一個cve漏洞(CVE-2018-20318)，由于當(dāng)時我知道這個不是阿里的官方團隊（雖然項目當(dāng)時已經(jīng)在github上有一萬多個顆星了），所以沒有過多留意后續(xù)動態(tài)，結(jié)果才出了這么個幺蛾子。

?

言歸正傳，我當(dāng)時發(fā)現(xiàn)這個漏洞后，開發(fā)人員很快就回復(fù)馬上修復(fù)，于是我沒有跟進了，后來才發(fā)現(xiàn)開發(fā)人員修復(fù)的方法有問題，于是有外國佬又提了一個cve。。

漏洞本身沒什么好說的就是除了xml字符串時沒有禁止引用外部實體，而開發(fā)人員第一次修復(fù)用的是這個???? dbFactory.setExpandEntityReferences(false)

?

要知道當(dāng)時官方的xxe漏洞修復(fù)方法最早也用了這個（當(dāng)時阿里修改了不止一次），顧名思義上面就是禁止實體擴展引用，那為什么就不行呢？有人專門分析過，寫的文章是特別長，反正我是沒看很懂，大概意思是他和sun公司溝通了很久，sun說：“這個屬性設(shè)置不是你們想的那樣，你們都理解錯了”，不承認是自己的問題也不改，就這樣 這個問題就一直遺留了。

這里將正確的修復(fù)方法擺出來：

而dbFactory.setExpandEntityReferences(false) 沒什么卵用！！！！

還要說下第二種方法中：XMLConstants.FEATURE_SECURE_PROCESSING?? ===== "http://xml.org/sax/features/external-general-entites"

這種修復(fù)方法是可用的，而在我之前freebuf發(fā)表的文章（https://www.freebuf.com/vuls/176837.html）中，我說這種方法不可行。。。

我當(dāng)時確實是測試過了的，猜測應(yīng)該是eclipse當(dāng)時抽風(fēng)了。。。

?

轉(zhuǎn)載于:https://www.cnblogs.com/jinqi520/p/10450553.html

總結(jié)

以上是生活随笔為你收集整理的java中xxe漏洞修复方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。