StAXSOAPModelBuilder使用出现问题解决

最新推荐文章于 2021-03-07 01:37:20 发布
原创 最新推荐文章于 2021-03-07 01:37:20 发布 · 407 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文深入探讨了Axis2 Web服务核心引擎在处理SOAP消息时存在的安全漏洞,特别是针对DTD(文档类型声明)的攻击。指出在Axis2中,虽然实现了对SOAP绑定的限制,但对于支持纯XML消息的HTTP绑定仍存在风险。此外,当处理包含DTD的文档时,StAXSOAPModelBuilder类可能会导致基于DTD的XML攻击,如内部子集引用或深度嵌套的实体定义引发的安全问题。
Axis2是一个Web服务的核心支援引擎。

根据SOAP 1.1规范的规定,SOAP消息总不能包含有文档类型声明(DTD)。在Axis2中,是通过StAXSOAPModelBuilder类来实现这个限制的。这个方法存在两个问题:

[color=red]1 仅适用于SOAP绑定,而支持纯XML消息的HTTP绑定仍允许请求消息中存在DTD。

2 在处理带有DTD的文档时,StAXSOAPModelBuilder仅在从StAX解析器接收到DTD事件后才会报告错误,而这时StAX解析器可能已经处理或部分处理了DTD。

这说明Axis2受基于DTD的XML攻击的影响。有两种类型的攻击[/color]:

* DTD可能引用其他的文档,也就是内部子集中所声明的DTD或外部实体。如果对XML解析器配置了默认的实体解析器(在本文所述情况下为Axis2),就会允许攻击者要求解析器访问任意文件。由于可能将URL用作系统ID,这包括仅可在服务器所部署的网络中访问的远程资源。

* 尽管XML不允许递归实体定义,但允许嵌套的实体定义。如果文档中包含有深度嵌套的实体定义,解析该文档就会在实体展开期间导致非常高的CPU和内存消耗。
soap-builder.jar,工具包,可解析wsdl
04-10
样例,更多用法自行研究: public List<Map<String,List<Map>>> getWsdlMsg(String wsdlPath){ Wsdl wsdl = Wsdl.parse(wsdlPath); List qNameList = wsdl.getBindings(); List<Map<String,List<Map>>> bindList = new ArrayList<Map<String,List<Map>>>(); for(int i=0;i<qNameList.size();i++){ String localPart = qNameList.get(i).getLocalPart(); SoapBuilder builder = wsdl.binding().localPart(localPart).find(); List operationList = builder.getOperations(); Map<String,List<Map>> bindMap = new HashMap<String,List<Map>>(); List<Map> optList = new ArrayList<Map>(); for(int j=0;j<operationList.size();j++){ try{ SoapOperation sOpt = operationList.get(j); String optName = sOpt.getOperationName(); String soapAction = sOpt.getSoapAction(); String requestMsg = builder.buildInputMessage(sOpt); String responseMsg = builder.buildOutputMessage(sOpt); Map optMap = new HashMap(); optMap.put("optName", optName); optMap.put("soapAction", soapAction==null?"":soapAction); optMap.put("requestMsg", requestMsg); optMap.put("responseMsg", responseMsg); optList.add(optMap); }catch (Exception e) { } } bindMap.put(localPart, optList); bindList.add(bindMap); } return bindList; }
java web中的dtd文件_java – SOAP消息不得包含文档类型声明(DTD)
weixin_30220177的博客
03-07 841
我正在尝试理解ws-security签名和加密.我遵循了this指南.如上所述我已经安装了rampart,已经成功创建了相关的* .aar文件并将其部署在tomcat servlet引擎中,添加了org.bouncycastle.jce.provider.BouncyCastleProvider Bouncy Castle安全提供程序(公钥加密功能所必需的)在示例代码中使用了JVM安全配置(lib...
WS-Security 中文问题&Stax(Streaming API for XML) (二)
放翁(文初)的一亩三分地
12-04 3045
 WS-Security中文问题解决       在对新一代的Jaxp做了基本学习以后,那么对于axis2如何处理SOAP消息有了基本的了解,在跟踪了代码调试以后,发现问题主要是出在axis2的rampart模块的Axis2Util类,其中的两个方法getDocumentFromSOAPEnvelope(SOAPEnvelope env, boolean useDoom)和getSOAPE
axis2开发过程中遇见的异常
zhangnana200的博客
06-08 3538
异常: Exception in thread "main" org.apache.axiom.soap.SOAPProcessingException: A SOAP message cannot contain entity references because it must not have a DTD at org.apache.axiom.soap.impl.builder.StA
使用axis2中遇到的问题
08-21 919
org.apache.axis2.AxisFault: com.ctc.wstx.exc.WstxEOFException: Unexpected EOF in prologat [row,col {unknown-source}]: [1,0] at org.apache.axis2.AxisFault.makeFault(AxisFault.java:430) at o...
SOAP, PI, AXIOM
dagouaofei的专栏
05-31 1255
<br />SOAP中不允许出现PI,这是soap的一个语法规则<br /> <br />from:<br />http://www.experts-exchange.com/Programming/Languages/Java/Q_21666319.html<br /> <br />Also according to the SOAP 1.1 specification, “A SOAPmessageMUST NOT containProcessingInstructions.” Honestly thi
爬坑记之 WAS 9.0.0.0 部署Axis2 框架的项目
极客星云-CSDN博客
08-03 2668
前不久,公司要求我们将带有Axis2 框架的项目部署到WAS 9.0上,遇到了一些痛苦的问题,持续了将近两周,终于从坑里爬出来了,特此笔记。 WebSphere:IBM 的Java应用服务器软件,用来部署运行Web应用,简称WAS 最开始安装包用的是WAS 9.0.0.0,坑就从此开始。 第一坑 是否使用Windows 服务来运行WAS 这一步在创建概要文件时候的一个步骤,...
使用StAX解析器。
海浪之心的专栏
11-19 710
package chapter12; /**  * 使用StAX解析器。  * StAX解析器是一种“拉解析器(pull parser)",与安装事件处理不同,你只需要使用下面这样的基本篁来迭代所有的事件:  * InputStream in = url.openStream();  * XMLInputFactory factory = XMLInputFactory.newInsta
axis2 webservice下实现AXIOM service的完整步骤
klayer_cong的博客
08-12 2221
原理: AXIOM,即OMElement(也称为 OM) AXIS2会将Web service的方法中的参数,返回值中的自定义对象、数组、List等类型统一映射为OMElement类型 我们需要做的:  编写OMElement与类型之间的转换方法 1.先编写OMElement与类型之间的转换方法的util class web service和client 都调用这个类型转换工
JAVA soap方式获取WebService的全部方法名
u010925982的博客
07-16 1075
废话不多说 直接上代码: maven 库: 或者下载后 自己取出jar包用 <!-- soap --> <dependency> <groupId>com.xkcoding</groupId> <artifactId>soap-builder</artifactI...
安装SPS后,原来的默认站点下的程序都不能访问
dianjunrao3962的博客
12-11 148
前两天要学习sharepoint,安装后,原来在默认站点下的程序都不能访问:说“当前信任级别设置不支持调试”,为了尽快恢复原来站点的使用,经过比较发现在IIS主目录下多了一个web.config的文件,我将他备份后删除,或直接改名,然后再IIS默认站点属性中ISAPI筛选器将stsfltr删掉,就可以访问了。不过我想会对SPS有影响,不知道怎么处理好。 转载于:https://www....
几种流行Webservice框架性能对比
热门推荐
thunder4393的专栏
08-04 2万+
开发webservice应用程序中离不开框架的支持,当open-open网站列举的就有30多种,这对于开发者如何选择带来一定的疑惑。性能Webservice的关键要素,不同的框架性能上存在较大差异,而当前在官方网站、网络资料中可以方便的找到各自框架的介绍,但是很少有针对不同框架性能测试数据。本文选择了比较流行几个框架:Apache Axis1、Apache Axis2、Codehaus XFire、Apache CXF等,采用java作为测试用例,通过本机和远程两种进行测试方式,对这几种框架进行了性能测试,
简单对象访问协议
无与伦比BLOG
04-22 795
定义 简单对象访问协议(Simple Object Access Protocol,SOAP),是一种轻量的、简单的、基于XML的协议,它被设计成在WEB上交换结构化的和固化的信息。 SOAP 可以和现存的许多因特网协议和格式结合使用,包括超文本传输协议(HTTP),简单邮件传输协议(SMTP),多用途网际邮件扩充协议(MIME)。它还支持从消息系统到远程过程调用(RPC)等大量的应用程序。
SOAP消息
Mr. David 专栏
05-09 7215
一、SOAP协议概述     soap简单对象访问协议,是一个用来在分散/分布式的环境中交换信息的简单协议, 是一个基于xml的协议。 soap本身是一个无状态的、单向的消息交换机制。     soap中没有包含应用于soap消息路由、可靠数据传输和穿越防火墙等方面的应用 程序数据传送语义,但是它提供了一个机制,通过这个机制,特定于应用程序的信息 能够以一种可靠的方式传送。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值