应用软件安全编程--05预防 XML 注入

如果用户有能力使用结构化XML 文档作为输入,那么他能够通过在数据字段中插入 XML 标签来 重写这个 XML 文档的内容。 XML 解析器会将这些标签按照正常标签进行解析。下面是一段在线商 店的 XML 代码,主要用于查询后台数据库。

XML 复制代码
<item)

<description>Widget</description)

<price)500.0</price>

<quantity>1</quantity)

</item)

恶意用户可以在<quantity)元素中输入以下字符串:1</quantity)<price>1.0</price〉<quantity>1 会生成以下的 XML 文档:

XML 复制代码
<item)

<description>Widget</description)

<price)500.0</price>

<quantity)1</quantity)<price)1.0</price 〉<quantity)1</quantity)

</item)

通过使用简单的API 解析器(org.xml.sax and javax.xml.parsers.SAXParser)可以解析该 XML 文 件,如果解析XML 的代码获取的是最后一个元素<price)的值,那么商品价格就被设置为1.0。

对于预防 XML 注入的情况,示例1给出了不规范用法(Java 语言)示例。示例2给出了规范用法 (Java 语言)示例。

java 复制代码
示例1:

public class OnlineStore {

private static void createXMLStreamBad(final BufferedOutputStreamoutStream, final String quantity) throws IO- Exception {

String xmlString ="<item 〉\n(description>Widget</description)\n"

+"<price)500</price 〉\n"+"<quantity)"+ +"</quantity)</item)";

outStream.write(xmlString.getBytes());

outStream.flush();

}

} 

上面的代码样例中,一个方法简单的使用了字符串拼接来创建一个 XML 查询,然后将其发送到服务器。在这时就有可能出现XML注入问题,因为这个方法没有进行任何输入验证。

当XML可能已经载入还未处理的输入数据时,一般情况下使用XML模板或者DTD验证 XML。如果还没有创建这样的XML字符串,那么应在创建 XML之前处理输入,这种方式性能较高。

java 复制代码
示例2(输入验证):

public class OnlineStore {

private static void createXMLStream(final BufferedOutputStreamoutStream,

final String quantity) throws IOException, NumberFormatException {

// Write XML string only if quantity is an unsigned integer(count).

int count = Integer.parseUnsignedInt(quantity);

String xmlString ="<item 〉\n(description>Widget</description)\n"

+"<price)500(/price 〉\n"+"〈quantity)"+         count+"</quantity)</item)";

outStream.write(xmlString.getBytes());

outStream.flush();

 }

 }

代码的解决方案是验证 quantity 是一个无符号整数。

相关推荐
我命由我123451 小时前
执行 Gradle 指令报错,无法将“grep”项识别为 cmdlet、函数、脚本文件或可运行程序的名称
android·java·java-ee·android studio·android jetpack·android-studio·android runtime
考虑考虑1 小时前
Sentinel安装
java·后端·微服务
JerrySir2 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳2 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
凤凰院凶涛QAQ3 小时前
《Java版数据结构 & 集合类剖析》栈与队列:“push/pop 是栈的灵魂,offer/poll 是队列的骨架——四组 API,两种人生”
java·开发语言·数据结构
xd1855785553 小时前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙
掘金_答案3 小时前
上线那天,一个 ConcurrentHashMap 差点送走我的 AI 客服——3 天排查 JVM 血泪史
java·后端·架构
白帽小阳4 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
猿与禅4 小时前
CosId 分布式 ID 生成器完全教程:从架构原理到生产落地
java·shardingsphere·雪花算法·分布式id·高性能·cosid·号段模式
MindUp4 小时前
企业网盘权限模型解析:多层级访问控制与审计能力选型指南
java·linux·运维