use*_*158 8 c# xml asp.net asmx xxe
我们在asp.net asmx Web服务中发现了XML外部实体漏洞。
我们正在使用burp套件测试asp.net .asmx Web服务,以检查XML外部实体处理漏洞。参见:https : //www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
我们看到当请求中包含DTD时,如下所示:
<!DOCTYPE soapenv:envelope PUBLIC "-//B/A/EN" "http://1234565.cigitalcollaborator.com">
DNS请求被发送到cigitalcollaborator.com。这表明asmx Web服务正在处理请求中的DTD。
我们正在使用.net版本4.5.2。
根据此链接,对于.net 4.5.2及更高版本,应隐式阻止XXE漏洞:https ://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#.NET_4.5.2_and_later
但这不是...我们进行此DNS查找。
底层的.net框架正在处理此asmx Web服务的XML反序列化/序列化,因此没有代码可在此处进行实际修复。我们不能更改行为权限,因为它在底层框架中?
我们如何为ASMX Web服务修复此XXE漏洞?
谢谢
乔恩·波
ASXM Web 服务被视为遗留服务,不会收到所有错误修复,因为它们的扩展点有限。您可能想要重写它,或者至少使用 WCF 或 WebAPI 等在它前面放置一个外观...
遗憾的是,涉及此问题的连接文章已随着连接退休而被删除,但有人引用了链接到它们的内容:
“它们基于旧的 XML 序列化技术,该技术没有得到错误修复。(请参阅 2010 年 1 月 11 日的 Microsoft 评论)” https://johnwsaunders3.wordpress.com/
| 归档时间: |
|
| 查看次数: |
831 次 |
| 最近记录: |