个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
30
4
我在 fortify 报告中收到第 4 行的 XML 外部实体注入(inject)安全警告。不知道如何解决它。我对 SOAP、JAXB 和 Marshaller 还很陌生。
1 private TargetObject convert( ResponseEntity<String> response ) throws JAXBException{
2 JAXBContext jaxbContext = JAXBContext.newInstance( TargetObject.class );
3 Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();
4 StringReader reader = new StringReader( Objects.requireNonNull( response.getBody() ) );
5 TargetObject targetObject = (ArrayOfOrderList) unmarshaller.unmarshal( reader );
6 return targetObject;
7 }
第 4 行(XML 外部实体注入(inject))高
问题详情
Kingdom:输入验证和表示
扫描引擎:SCA(语义)
水槽细节
接收器:unmarshal()
提前致谢!
最佳答案
我建议您阅读:OWASP XXE Prevention Cheat Sheet 。这将为您提供解决方案
关于java - 强化 XML 外部实体 (XXE),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61338535/
30
4
0
XXE安全威胁目前没有。在 OWASP 十大 Web 应用程序安全威胁列表中排名第 4,因此我希望 Java 标准 XML 库能够防止此类攻击。但是,当我以 Sonar 推荐的方式使用 Validat
我有格式如下的excel数据单元格: 需要在同一个单元格中同时包含数字和括号内的数字。 我希望再创建四个单元格,其中包含每个单元格对非支持数字总和的百分比贡献。 即第一个新单元格中的总和需要为 3e-
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 去年关闭。 Improve this
为了防止 XXE 攻击,我已按照 Java DocumentBuilderFactory 的建议禁用了以下功能 - https://www.owasp.org/index.php/XML_Extern
我在 fortify 报告中收到第 4 行的 XML 外部实体注入(inject)安全警告。不知道如何解决它。我对 SOAP、JAXB 和 Marshaller 还很陌生。 1 private
我在 veracode 报告中得到了下一个发现:XML 外部实体引用(“XXE”)的不当限制(CWE ID 611) 引用下面的下一个代码 ... DocumentBuilderFactory d
是否可以对 Javascript 进行 XXE 攻击(或者至少有意义)?这就是,当尝试用JS解析XML时,它是否处理外部实体?但是这个解析是在客户端执行的,对吗?它会对服务器造成什么危害? 我们如何防
这是关于在使用 JAXB API 时避免 XXE 攻击。据我了解,使用 JAXB 时,可以覆盖默认解析机制,并且可以使用备用 SAX 解析器并设置实体功能以避免 XXE 攻击。但想了解默认解析器到底是
我们使用 javax.xml.parsers.SAXParserFactory 读取我们的 XML 模板文件。如果我们正在读取的 XML 文件中存在 XXE,是否有办法关闭对它的处理? 谢谢 - 戴夫
我的 Veracode 报告中有下一个发现:XML 外部实体引用 ('XXE') (CWE ID 611) 的不当限制 引用下面的下一个代码 ... DocumentBuilderFactory
我有几个 SonarQube 漏洞,其中一个引起了我的注意。 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); tr
想知道如何使用 Xstream API 修复 Xml EXternal Entity (XXE) 漏洞。 就像我们能做的 // This is the PRIMARY defense. If DTDs
要求:当我将以下请求传递给我的应用程序时, 1)如何对这种存在风险的输入xml进行XML验证 2) 如何在 libxml2 中禁用 XXE,即不应该解析 ENTITY 字段 ]> LINE_ITE
用 Java 解析 XML 变得非常简单。大多数代码最终会调用 DocumentBuilderFactory.newInstance(),它返回易受 XXE kind of attacks by de
作为最后的手段,我在这里发布了一个问题,我浏览了网页并进行了多次尝试但没有成功。 复制 XXE 攻击是我试图做的,以防止它们,但我似乎无法理解 PHP 处理 XML 实体的方式。作为记录,我在 Ubu
最近,我们对我们的代码进行了安全审计,其中一个问题是我们的应用程序受到了 Xml eXternal Entity (XXE) 攻击。 基本上,该应用程序是一个计算器,通过 Web 服务接收 XML 格
我们要处理的XML消息的格式是这样的: .... 收到异常: javax.xml.bind.UnmarshalException: unexpected el
这些代码行导致 xxe 漏洞出现在 Checkmarx 报告中: InputStream is = connection.getInputStream(); XMLInputFactory facto
我使用非验证读取来显示或处理不受信任的 XML 文档,我不需要支持内部实体,但我确实希望能够处理,即使显示了 DOCTYPE。 随着disallow DOCTYPE-decl feature SAX
我们对代码进行了安全审核,他们提到我们的代码容易受到外部实体 (XXE) 攻击。我正在使用以下代码 - string OurOutputXMLString= "00000Logince_useridc
我是一名优秀的程序员,十分优秀!