1

我正在使用一个客户端,它向服务器发送一个 xml soaprequest,其中包括一个 doctype decleration 作为

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY xxe SYSTEM "///etc/SuSE-brand">
]>

在我发送的其中一个实体中 &xxe; 作为输入<comments>&xxe;</comments>。这是外部实体注入。在服务器端,请求第一次到达时已被解析,并且注释字段包含位置 /etc/SuSe-brand 的文本。

我想停止这个 doctype 解析,我必须检查是否有一些 doctype,然后应该停止解析。或者任何人都可以建议应该使用哪个版本的 JAX-WS 来检查 xml 实体注入?

4

1 回答 1

0

我已经尝试了很多事情,将 jaxws 的版本从 2.1.3 更改为 2.1.7,但它并没有阻止 xml 实体注入。最后我放了一个 http 过滤器,我可以从soapui 获得确切的soaprequest。我管理了缓和我的更改,然后进一步发送更改后的soaprequest。

于 2012-07-26T05:12:38.333 回答