那些遇到过的问题

Veracode XML外部实体参考(XXE)

Jos*_*uel 5 java veracode xxe

我在我的veracode报告中得到了下一个发现:XML外部实体参考的不当限制('XXE')(CWE ID 611)参考下面的代码

...

>     DocumentBuilderFactory dbf=null;      DocumentBuilder db = null;      try {       dbf=DocumentBuilderFactory.newInstance();  
>       dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true); 
>       dbf.setExpandEntityReferences(false); 
>       dbf.setXIncludeAware(false);        dbf.setValidating(false);       db =
> dbf.newDocumentBuilder();   
>       InputStream stream = new ByteArrayInputStream(datosXml.getBytes());
>       Document doc = null;            doc= db.parse(stream, "");
Run Code Online (Sandbox Code Playgroud)

...

我一直在研究,但我没有找到这个发现的理由或使它消失的方法.你能告诉我怎么做吗?

Del*_*rth 8

您是否看过有关XXE的OWASP指南

您没有禁用应禁用的3个功能.最重要的是第一个:

dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

7853 次

最近记录:

9 年,11 月 前
相关归档
如何使用Java将String保存到文本文件? 667
Java Persistence API中FetchType LAZY和EAGER之间的区别? 512
如何向Spring Data JPA添加自定义方法 144
在Java中添加n个小时到一个日期? 132
如何在Jackson中使用自定义Serializer? 101
为什么compareTo在Java上的Enum final? 87
Lists.newArrayList与新的ArrayList 70
如何使用Jackson反序列化JS日期? 67
如何为android创建矢量drawable? 50
Mac OS X 10.8 Mountain Lion上安装了Oracle(Sun)的JDK/JRE在哪里? 47
难疑归档
在Git存储库中查找并恢复已删除的文件 2716
为什么我不应该在PHP中使用mysql_*函数? 2432
如何检查字符串是否包含Bash中的子字符串 2332
重写System.Object.GetHashCode的最佳算法是什么? 1389
如何在python字符串中打印文字大括号字符并在其上使用.format? 1320
如何使用INER JOIN与SQL Server删除? 1181
C中的函数指针如何工作? 1170
如何初始化静态地图? 1084
Ukkonen的简明英语后缀树算法 1065
用于Python的IDE是什么? 1028