- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
为了防止 XXE 攻击,我已按照 Java DocumentBuilderFactory 的建议禁用了以下功能 - https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet .
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);
如果我不将 external-general-entites 和 external-parameter-entities 设置为 false,是否存在任何漏洞?因为当我们将 disallow-doctype-decl 设置为 true 并将 XIncludeAware 设置为 false 时,它将不允许扩展这些外部实体。
从上面的代码中删除这两行是否安全 -
或者也必须保留它们。如果是强制的,不设置为 false 会有什么漏洞?
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
请提供特定于 external-genereal/Parameter-entities 的漏洞示例,即使我们将 disallow-doctype 设置为 true,将 XIncludeAware 设置为 false,将 ExpandEntityReferences 设置为 false。
最佳答案
保留它们不是强制性的。设置 disallow-doctype-decl
将防止 XXE 攻击,因为不受信任的 XML 中的任何内联 DOCTYPE
声明都会导致解析器抛出异常。
但是,我建议保持代码不变,因为 external-general-entities
和 external-parameter-entities
是 true by default 。如果这两行不存在并且后来的维护者(天真地或错误地)删除了第一行,则代码再次变得容易受到攻击。明确地保留其他行使得在进一步修改时维护者更有可能查找这些功能,并且我们希望了解它们为何存在。
关于java - XML 外部实体 (XXE) - 外部参数实体和外部通用实体漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54284466/
XXE安全威胁目前没有。在 OWASP 十大 Web 应用程序安全威胁列表中排名第 4,因此我希望 Java 标准 XML 库能够防止此类攻击。但是,当我以 Sonar 推荐的方式使用 Validat
我有格式如下的excel数据单元格: 需要在同一个单元格中同时包含数字和括号内的数字。 我希望再创建四个单元格,其中包含每个单元格对非支持数字总和的百分比贡献。 即第一个新单元格中的总和需要为 3e-
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 去年关闭。 Improve this
为了防止 XXE 攻击,我已按照 Java DocumentBuilderFactory 的建议禁用了以下功能 - https://www.owasp.org/index.php/XML_Extern
我在 fortify 报告中收到第 4 行的 XML 外部实体注入(inject)安全警告。不知道如何解决它。我对 SOAP、JAXB 和 Marshaller 还很陌生。 1 private
我在 veracode 报告中得到了下一个发现:XML 外部实体引用(“XXE”)的不当限制(CWE ID 611) 引用下面的下一个代码 ... DocumentBuilderFactory d
是否可以对 Javascript 进行 XXE 攻击(或者至少有意义)?这就是,当尝试用JS解析XML时,它是否处理外部实体?但是这个解析是在客户端执行的,对吗?它会对服务器造成什么危害? 我们如何防
这是关于在使用 JAXB API 时避免 XXE 攻击。据我了解,使用 JAXB 时,可以覆盖默认解析机制,并且可以使用备用 SAX 解析器并设置实体功能以避免 XXE 攻击。但想了解默认解析器到底是
我们使用 javax.xml.parsers.SAXParserFactory 读取我们的 XML 模板文件。如果我们正在读取的 XML 文件中存在 XXE,是否有办法关闭对它的处理? 谢谢 - 戴夫
我的 Veracode 报告中有下一个发现:XML 外部实体引用 ('XXE') (CWE ID 611) 的不当限制 引用下面的下一个代码 ... DocumentBuilderFactory
我有几个 SonarQube 漏洞,其中一个引起了我的注意。 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); tr
想知道如何使用 Xstream API 修复 Xml EXternal Entity (XXE) 漏洞。 就像我们能做的 // This is the PRIMARY defense. If DTDs
要求:当我将以下请求传递给我的应用程序时, 1)如何对这种存在风险的输入xml进行XML验证 2) 如何在 libxml2 中禁用 XXE,即不应该解析 ENTITY 字段 ]> LINE_ITE
用 Java 解析 XML 变得非常简单。大多数代码最终会调用 DocumentBuilderFactory.newInstance(),它返回易受 XXE kind of attacks by de
作为最后的手段,我在这里发布了一个问题,我浏览了网页并进行了多次尝试但没有成功。 复制 XXE 攻击是我试图做的,以防止它们,但我似乎无法理解 PHP 处理 XML 实体的方式。作为记录,我在 Ubu
最近,我们对我们的代码进行了安全审计,其中一个问题是我们的应用程序受到了 Xml eXternal Entity (XXE) 攻击。 基本上,该应用程序是一个计算器,通过 Web 服务接收 XML 格
我们要处理的XML消息的格式是这样的: .... 收到异常: javax.xml.bind.UnmarshalException: unexpected el
这些代码行导致 xxe 漏洞出现在 Checkmarx 报告中: InputStream is = connection.getInputStream(); XMLInputFactory facto
我使用非验证读取来显示或处理不受信任的 XML 文档,我不需要支持内部实体,但我确实希望能够处理,即使显示了 DOCTYPE。 随着disallow DOCTYPE-decl feature SAX
我们对代码进行了安全审核,他们提到我们的代码容易受到外部实体 (XXE) 攻击。我正在使用以下代码 - string OurOutputXMLString= "00000Logince_useridc
我是一名优秀的程序员,十分优秀!