5.3.11. 常见Sink

5.3.11.1. 命令执行/注入

• java.lang.Runtime.getRuntime().exec()

• java.lang.ProcessBuilder

5.3.11.2. XXE

• java.net.bull.javamelody.PayloadNameRequestWrapper

• javax.xml.bind.Unmarshaller

• javax.xml.parsers.DocumentBuilderFactory

• javax.xml.parsers.SAXParser

• javax.xml.stream.XMLStreamReader

• javax.xml.transform.sax.SAXSource

• javax.xml.transform.sax.SAXTransformerFactory

• javax.xml.transform.TransformerFactory

• javax.xml.validation.SchemaFactory

• javax.xml.validation.Validator

• javax.xml.xpath.XpathExpression

• org.apache.commons.digester3.Digester

• org.apache.ofbiz.base.util.UtilXml

• org.dom4j.io.SAXReader

• org.jdom.input.SAXBuilder

• org.jdom2.input.SAXBuilder

• org.xml.sax.helpers.XMLReaderFactory

• org.xml.sax.XMLReader

5.3.11.3. SSRF

• HttpClient.execute

• HttpClients.execute

• HttpURLConnection.getInputStream

• ImageIO.read

• OkHttpClient.newCall.execute

• Request.Get.execute

• Request.Post.execute

• URL.openStream

• URLConnection.getInputStream

5.3.11.4. 反序列化

5.3.11.4.1. 相关Sink函数

• JSON.parseObject

• ObjectInputStream.readObject

• ObjectInputStream.readUnshared

• ObjectMapper.readValue

• XMLDecoder.readObject

• XStream.fromXML

• Yaml.load

5.3.11.4.2. Magic Call

以下的魔术方法都会在反序列化过程中被自动的调用。

• readObject

• readExternal

• readResolve

• readObjectNoData

• validateObject

• finalize

5.3.11.4.3. 主流JSON库

主流的JSON库有Gson、Jackson、Fastjson等，因为JSON常在反序列化中使用，所以相关库都有较大的影响。

其中Gson默认只能反序列化基本类型，如果是复杂类型，需要程序员实现反序列化机制，相对比较安全。

Jackson除非指明@jsonAutoDetect，Jackson不会反序列化非public属性。在防御时，可以不使用enableDefaultTyping方法。相关CVE有CVE-2017-7525、CVE-2017-15095。

FastJson是阿里巴巴的开源JSON解析库，支持将Java Bean序列化为JSON字符串，也支持从JSON字符串反序列化到Java Bean，相关CVE有CVE-2017-18349等。

FastJson常见的Sink点有：

• JSON.toJSONString

• JSON.parseObject

• JSON.parse