XML解析器在.NETCore中不会被XML外部实体(XML)注入吗?
我试图确定.NET核心应用程序是否容易受到XML外部实体(XXE)注入攻击。我读了这个OWASP XXE预防备忘单,它告诉我,例如,在4.5.2之前的.NET Framework版本中,XmlDocument在默认情况下是不安全的。我找不到任何类似的.NET核心版本的文档。我看到.NETCore是在.NETFramework 4.6.2发布的几个月内发布的。因此,我可以假设这些XML解析器在.NETCore中默认是安全的吗?
共有1个答案
我测试的XML解析器在.NETCore2.1中与在.NETFramework 4.5.2中具有相同的特性(至少在XXE注入方面)。为了回答我在问题中给出的具体示例,XmlDocument在.NET Framework 4.5.1中默认不安全,但在.NET Framework 4.5.2和.NET Core 2.1中默认安全。
为了让自己相信这一事实,我对.NET Framework 4.5.1和4.5.2以及.NET Core 2.1进行了测试。我的代码和结果可以在GitHub上找到。
-
Hp fortify向我展示了以下代码中的XML外部实体注入: 在上面,它显示了以下行中的漏洞
-
XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML 和外部实体。 元语言是用于描述其它语言的语言,这就是 XML。它在 HTML 之后开发,来弥补 HTML 的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。房子,XML 用于定义数据如何被组织
-
我们对我们的代码进行了安全审计,他们提到我们的代码容易受到外部实体(XXE)攻击。 解释-XML外部实体攻击得益于XML功能,可以在处理时动态构建文档。XML实体允许动态包含来自给定资源的数据。外部实体允许XML文档包含来自外部URI的数据。除非配置为其他方式,否则外部实体会强制XML解析器访问URI指定的资源,例如本地计算机或远程系统上的文件。此行为会使应用程序遭受XML外部实体(XXE)攻击,
-
我正在我的基于j2ee的Web应用程序中上传一个xsd,该应用程序正在对java类进行性别划分,稍后用于处理。上传xsd已被确定为可用于XML外部实体注入。我搜索了很多地方,了解如何为xml修复它。但是XSD不清楚。如果有人对此有任何想法,请告诉我。 提前谢谢
-
我每次都会再次遇到这个错误,尽管我将代码更改为我在网上找到的代码,如下所示:
-
当我使用强化工具扫描时,我在“XML外部实体注入”下遇到了一些问题。 这是它显示错误的地方。根据fortify的建议,我给出了以下修复方法 但是问题仍然没有解决。如何解决这个问题?