从JDK源码来看XXE的触发原理和对应的防御手段

发布时间：2023-02-22 15:50:35 所属栏目：安全来源：

导读：过去这些天继续在重新写 GadgetInspector工具，进一步的增强该自动化工具的source点和sink点，同时增强过程中的漏报和误报的问题。

但是这里我们的主要目标是对其中有关于XXE中的相似点的两点sink不确定性进行几点

过去这些天继续在重新写 GadgetInspector工具，进一步的增强该自动化工具的source点和sink点，同时增强过程中的漏报和误报的问题。

但是这里我们的主要目标是对其中有关于XXE中的相似点的两点sink不确定性进行几点简便易行的分析。

sinks
DocumentBuilder类
这个JDK中内置的是一种的DOM型的解释器，该种Parser的特点是将完整的xml文档内容加载到树结构中去，然后我们通过遍历结点来获取我们需要的内容。

首先编写一段实例代码，使用DocumentBuilder类来读取xml文档的内容。如果你想要在你的应用程序中添加一个新的功能，那么你可以通过编写一个类来实现这个功能。