XML注入强化问题
我的项目中有下面的代码
XPathDocument document = new XPathDocument(new StringReader(xml));
return document.CreateNavigator();
加强在上述代码中显示xml注入。如何解决这种xml注入?
共有1个答案
“扩展函数和变量可用于防止XML注入攻击。”
资料来源:https://msdn.microsoft.com/en-us/library/dd567715.aspx
防止XPath注入的主要思想是预编译您要使用的XPath表达式并允许其中的变量(参数),在评估过程中这些变量将被用户输入的值替换
在.NET中:
- 使用XPathExpress预编译您的XPath expresion。编译()。
- 使用XPathExpress. SetContext()方法将XsltContext对象指定为上下文,该对象将一些特定变量解析为用户输入的值。
上面的信息源基本上包含了您需要的所有信息。
-
我试图修复XEE问题,并尝试了其他选项,但不起作用。如果有任何指示,那就太好了。 下面是我的代码片段。。
-
当我使用强化工具扫描时,我在“XML外部实体注入”下遇到了一些问题。 这是它显示错误的地方。根据fortify的建议,我给出了以下修复方法 但是问题仍然没有解决。如何解决这个问题?
-
问题内容: 我从客户端获取 SUBSCRIPTION_JSON ,将其转换为String,然后使用gson库将其设置为Model Object。在Fortify安全性上运行代码时,它在以下代码上给我Json注入错误,并显示以下消息: 这是错误: SubscriptionAction.java ActionHelper.java SUBSCRIPTION_JSON- > 问题答案: 在将其设置为Mo
-
我需要修复XXE问题。我在代码中使用transformerfactory。在下面找到修复程序,但我在代码中看不到ACCESS\u EXTERNAL\u DTD属性。我得到的原因是以下代码将适用于Java7,但我使用的是Java 6。能否有人建议其他修复方法来保护Java TransformerFactory免受XXE攻击,请执行以下操作:
-
Summary XML Injection testing is when a tester tries to inject an XML doc to the application. If the XML parser fails to contextually validate data, then the test will yield a positive result. This se
-
然而,Eclipse告诉我“没有bean可以被注入到注入点[JSR-299§5.2.1]”。我做错了什么?你有没有看到我缺少的东西。如有任何帮助,我们将不胜感激。 谢谢!!