java中禁止外部实体引用的设置方法不止一种,这样就导致有些开发者修复的时候采用的错误的方法
之所以写这篇文章是有原因的!最早是有朋友在群里发了如下一个pdf,
而当时已经是2019年1月末了,应该不是2018年7月份那个引起较大轰动的alipay java sdk的了,我突然虎躯一震,该不是。。。
进去看了一下,果然是我前不久在github给WxJava提的一个cve漏洞(CVE-2018-20318),由于当时我知道这个不是阿里的官方团队(虽然项目当时已经在github上有一万多个颗星了),所以没有过多留意后续动态,结果才出了这么个幺蛾子。
言归正传,我当时发现这个漏洞后,开发人员很快就回复马上修复,于是我没有跟进了,后来才发现开发人员修复的方法有问题,于是有外国佬又提了一个cve。。
漏洞本身没什么好说的就是除了xml字符串时没有禁止引用外部实体,而开发人员第一次修复用的是这个 dbFactory.setExpandEntityReferences(false)
要知道当时官方的xxe漏洞修复方法最早也用了这个(当时阿里修改了不止一次),顾名思义上面就是禁止实体扩展引用,那为什么就不行呢?有人专门分析过,写的文章是特别长,反正我是没看很懂,大概意思是他和sun公司沟通了很久,sun说:“这个属性设置不是你们想的那样,你们都理解错了”,不承认是自己的问题也不改,就这样 这个问题就一直遗留了。
这里将正确的修复方法摆出来:
而dbFactory.setExpandEntityReferences(false) 没什么卵用!!!!
还要说下第二种方法中:XMLConstants.FEATURE_SECURE_PROCESSING ===== "http://xml.org/sax/features/external-general-entites"
这种修复方法是可用的,而在我之前freebuf发表的文章(https://www.freebuf.com/vuls/176837.html)中,我说这种方法不可行。。。
我当时确实是测试过了的,猜测应该是eclipse当时抽风了。。。