XXE安全威胁目前没有。 OWASP十大Web应用程序安全威胁列表中的第4个,因此我希望Java标准XML库可以防止此类攻击。但是,当我以Sonar推荐的方式使用Validator类时,规则“XML解析器不应该容易受到XXE攻击(java:S2755)”(link to rule): String xsd = "xxe.xsd"; String xml = "billionlaughs.xml"; StreamSource xsdStreamSource = new StreamSource(xsd); Strea…

2020年9月9日 0条评论 26点热度 阅读全文

我在强化报告中得到了第4行的XML外部实体注入安全警告。不知道如何解决它。我是SOAP,JAXB和Marshaller的新手。 1 private TargetObject convert( ResponseEntity<String> response ) throws JAXBException{ 2 JAXBContext jaxbContext = JAXBContext.newInstance( TargetObject.class ); 3 Unmarshaller unmarshaller…

2020年1月6日 0条评论 29点热度 阅读全文

我在veracode报告中有了下一个发现:XML外部实体引用('XXE')的不当限制(CWE ID 611) 引用下面的代码 ... DocumentBuilderFactory dbf=null; DocumentBuilder db = null; try { dbf=DocumentBuilderFactory.newInstance(); dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true); dbf.setExpandEntityRefe…

2019年4月29日 0条评论 68点热度 阅读全文