HP fortify XML外部实体注入
Hp fortify向我展示了以下代码中的XML外部实体注入:
StringBuilder sb = new StringBuilder();
StringWriter stringWriter = new StringWriter(sb);
xmlSerializer.Serialize(stringWriter, o);
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.LoadXml(stringWriter.ToString()); //bad code
result = xmlDoc.ChildNodes[1].OuterXml;
在上面,它显示了以下行中的漏洞xmlDoc.LoadXml(stringWriter.ToString())
我如何解决这种情况?
共有2个答案
XmlDocument对象中有一个XmlResolver对象,在4.5.2之前的版本中需要将其设置为null。在4.5.2及更高版本中,此XmlResolver默认设置为null。
使用xmlDoc。XmlResolver=null;在加载xml之前。
-
XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML 和外部实体。 元语言是用于描述其它语言的语言,这就是 XML。它在 HTML 之后开发,来弥补 HTML 的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。房子,XML 用于定义数据如何被组织
-
为了防止XXE攻击,我禁用了Java DocumentBuilderFactory推荐的以下功能-https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention\u Cheat\u Sheet。 如果我没有将外部常规实体和外部参数实体设置为false,是否存在任何漏洞?因为当我们将disallow doctype decl设
-
当我使用强化工具扫描时,我在“XML外部实体注入”下遇到了一些问题。 这是它显示错误的地方。根据fortify的建议,我给出了以下修复方法 但是问题仍然没有解决。如何解决这个问题?
-
我正在我的基于j2ee的Web应用程序中上传一个xsd,该应用程序正在对java类进行性别划分,稍后用于处理。上传xsd已被确定为可用于XML外部实体注入。我搜索了很多地方,了解如何为xml修复它。但是XSD不清楚。如果有人对此有任何想法,请告诉我。 提前谢谢
-
我试图修复XEE问题,并尝试了其他选项,但不起作用。如果有任何指示,那就太好了。 下面是我的代码片段。。
-
我正在尝试集成联邦快递API并得到这个错误。 警告:SoapClient::SoapClient()[SoapClient.SoapClient]:I/O警告:无法加载测试中的外部实体“./wsdl/RateService_v13.wsdl”。php在线12 致命错误:未捕获SoapFault异常:[WSDL]SOAP-ERROR:解析WSDL:无法从'.../wsdl/RateService_v