本文共 1054 字，大约阅读时间需要 3 分钟。

有风险的地方有两个

1.接口返回xml的格式化操作,SoapFormatAction,但是一般都打了补丁做了处理 实际上还可以在org.apache.xalan.transformer.TransformerIdentityImpl里解析之前加上下面代码也可以防止注入 2.调用接口时,一般来说如果服务是由home里startup.bat/startup.sh(tomcat)来启动的话是不会有风险的，但如果服务是由was启动,就会存在此风险。估计原因时两种服务容器的类加载方式不一样，据查tomcat的类加载器，不完全遵循“双亲委派”，就是自己先找，找不到了才让父加载器加载，而was应该是先交给父加载器加载。 调用接口时,NC采用的是XMLStreamReader来解析的,而它又是由XMLInputFactory来创建的,然而XMLInputFactory再NC里有三个jar包里都有而且路径一致 如果XMLInputFactory实例化的时候用的是jdk的XMLInputFactoryImpl,那就会有问题,而用的是tika-app里的WstxInputFactory就不会有， 因为XMLInputFactoryImpl的reader在解析标签的时候会去执行实体声明的指令， 而WstxInputFactory的reader在解析标签的时候不会执行命令,会根据标签符号判断event类型。 我们可以看到XMLInputFactory是一个静态变量，所以在服务启动之初就有可能已经进行了初始化，事实也是如此，追下代码就会知道，其实在服务启动时，ierp里的xml就是使用Staxs进行解析的。 所以在ws解析之前的StaxInInterceptor拦截器中将线程的类加载器改为系统类加载器也就是jdk的类加载器,XMLInputFactory实例化时一定是用的XMLInputFactoryImpl,那么就一定会有问题(这是在本地进行漏洞复现的方法) 解决办法: 1.在StaxInInterceptor拦截器前增加一个拦截器,专门对读取InputStream里面的XML,对敏感字符进行拦截

2.在StaxInInterceptor拦截器中,指定XMLInputFactory的子类进行实例化

3.XMLInputFactory解析前，设置属性不对引用实体进行解析

ps:风险发生在ReadHeadersInterceptor拦截器里的reader.next()方法里,所以在这之前处理都是可以的

转载地址：http://hzfrf.baihongyu.com/