5.3.11. 常见Sink¶
5.3.11.1. 命令执行/注入¶
- java.lang.Runtime.getRuntime().exec()
- java.lang.ProcessBuilder
5.3.11.2. XXE¶
- java.net.bull.javamelody.PayloadNameRequestWrapper
- javax.xml.bind.Unmarshaller
- javax.xml.parsers.DocumentBuilderFactory
- javax.xml.parsers.SAXParser
- javax.xml.stream.XMLStreamReader
- javax.xml.transform.sax.SAXSource
- javax.xml.transform.sax.SAXTransformerFactory
- javax.xml.transform.TransformerFactory
- javax.xml.validation.SchemaFactory
- javax.xml.validation.Validator
- javax.xml.xpath.XpathExpression
- org.apache.commons.digester3.Digester
- org.apache.ofbiz.base.util.UtilXml
- org.dom4j.io.SAXReader
- org.jdom.input.SAXBuilder
- org.jdom2.input.SAXBuilder
- org.xml.sax.helpers.XMLReaderFactory
- org.xml.sax.XMLReader
5.3.11.3. SSRF¶
- HttpClient.execute
- HttpClients.execute
- HttpURLConnection.getInputStream
- ImageIO.read
- OkHttpClient.newCall.execute
- Request.Get.execute
- Request.Post.execute
- URL.openStream
- URLConnection.getInputStream
5.3.11.4. 反序列化¶
5.3.11.4.1. 相关Sink函数¶
JSON.parseObjectObjectInputStream.readObjectObjectInputStream.readUnsharedObjectMapper.readValueXMLDecoder.readObjectXStream.fromXMLYaml.load
5.3.11.4.2. Magic Call¶
以下的魔术方法都会在反序列化过程中被自动的调用。
readObjectreadExternalreadResolvereadObjectNoDatavalidateObjectfinalize
5.3.11.4.3. 主流JSON库¶
主流的JSON库有Gson、Jackson、Fastjson等,因为JSON常在反序列化中使用,所以相关库都有较大的影响。
其中Gson默认只能反序列化基本类型,如果是复杂类型,需要程序员实现反序列化机制,相对比较安全。
Jackson除非指明@jsonAutoDetect,Jackson不会反序列化非public属性。在防御时,可以不使用enableDefaultTyping方法。相关CVE有CVE-2017-7525、CVE-2017-15095。
FastJson是阿里巴巴的开源JSON解析库,支持将Java Bean序列化为JSON字符串,也支持从JSON字符串反序列化到Java Bean,相关CVE有CVE-2017-18349等。
FastJson常见的Sink点有:
JSON.toJSONStringJSON.parseObjectJSON.parse