那些遇到过的问题

HP 强化 XML 外部实体注入

use*_*816 5 c# xml c#-4.0 fortify xxe

Hp fortify 通过以下代码向我展示了 XML 外部实体注入:

StringBuilder sb = new StringBuilder();
StringWriter stringWriter = new StringWriter(sb);
xmlSerializer.Serialize(stringWriter, o);
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.LoadXml(stringWriter.ToString());  //bad code
result = xmlDoc.ChildNodes[1].OuterXml;
Run Code Online (Sandbox Code Playgroud)

在上面它显示了以下行中的漏洞xmlDoc.LoadXml(stringWriter.ToString());

我该如何解决这种情况?

Tri*_*uri 3

使用 xmlDoc.XmlResolver = null; 在加载 xml 之前。

归档时间:

查看次数:

5934 次

最近记录:

6 年,10 月 前
相关归档
将对象序列化为XML 264
以编程方式获取DLL的版本号 145
了解私人制定者 82
为什么FolderBrowserDialog对话框不会滚动到所选文件夹? 70
在ASP.NET Web API中使用多个Get方法进行路由 60
使用Windows身份验证连接到SQL Server 50
Android Studio 错误:“检查 AAR 元数据时发现 6 个问题” 7
Activator.CreateInstance 和 Ninject 5
如何获取Google Plus的帖子数据(喜欢 - 分享 - 评论)? 4
如何找出(Type是Type)C# 2
难疑归档
如何在ActionScript 3中将"Null"(真正的姓氏!)传递给SOAP Web服务? 4603
使用"let"和"var"在JavaScript中声明变量有什么区别? 4199
如何在Java中将String转换为int? 2882
在Python中获取列表的最后一个元素 1871
轻松获取最新的git子模块 1748
使div填充剩余屏幕空间的高度 1743
使用jQuery将表单数据转换为JavaScript对象 1580
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
Promises和Observables有什么区别? 1291
从Docker容器内部,如何连接到本机的本地主机? 1176