XML外部实体注入的强化修复
当我使用强化工具扫描时,我在“XML外部实体注入”下遇到了一些问题。
TransformerFactory trfactory = TransformerFactory.newInstance();
这是它显示错误的地方。根据fortify的建议,我给出了以下修复方法
trfactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
trfactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
但是问题仍然没有解决。如何解决这个问题?
共有3个答案
我尝试使用“Xalan”实现类,而不是TransformerFactory.newInstance()。它对我有效,加固问题得到了解决
TransformerFactoryImpl transformerFactoryImpl = new TransformerFactoryImpl();
Transformer transformer = transformerFactoryImpl.newTransformer();
有时,如果java版本不兼容,它将无法工作。
if (javaVersion > 1.6) {
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
}
else {
if (javaVersion > 1.5) {
dbf.setFeature("http://xerces.apache.org/xerces2-j/features.html#external-general-entities", false);
dbf.setFeature("http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities", false);
}
else {
dbf.setFeature("http://xerces.apache.org/xerces-j/features.html#external-general-entities", false);
dbf.setFeature("http://xerces.apache.org/xerces-j/features.html#external-parameter-entities", false);
}
}
它对我有效:-)
TransformerFactory trfactory = TransformerFactory.newInstance();
trfactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
trfactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
trfactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
这就足够了。
-
我试图修复XEE问题,并尝试了其他选项,但不起作用。如果有任何指示,那就太好了。 下面是我的代码片段。。
-
Hp fortify向我展示了以下代码中的XML外部实体注入: 在上面,它显示了以下行中的漏洞
-
XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML 和外部实体。 元语言是用于描述其它语言的语言,这就是 XML。它在 HTML 之后开发,来弥补 HTML 的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。房子,XML 用于定义数据如何被组织
-
我在fortify报告中收到了第4行的XML外部实体注入安全警告。不知道如何修复它。我对SOAP、JAXB和Marshaller很陌生。 第4行(XML外部实体注入)高问题详细信息王国:输入验证和表示扫描引擎:SCA(语义) 接收器详细信息接收器:解组() 提前感谢!
-
我正在我的基于j2ee的Web应用程序中上传一个xsd,该应用程序正在对java类进行性别划分,稍后用于处理。上传xsd已被确定为可用于XML外部实体注入。我搜索了很多地方,了解如何为xml修复它。但是XSD不清楚。如果有人对此有任何想法,请告诉我。 提前谢谢
-
我的项目中有下面的代码 加强在上述代码中显示xml注入。如何解决这种xml注入?