我正在尝试确定 .NET Core 应用程序是否容易受到 XML 外部实体 (XXE) 注入攻击。我阅读了这个 OWASP XXE 预防备忘单,例如,它告诉我,XmlDocument在 4.5.2 之前的 .NET Framework 版本中默认情况下这是不安全的。我找不到 .NET Core 版本的任何类似文档。我看到 .NET Core 是在 .NET Framework 4.6.2 的几个月内发布的。因此,我可以假设这些 XML 解析器在 .NET Core 中默认是安全的吗?
问问题
588 次
1 回答
4
我测试的 XML 解析器在 .NET Core 2.1 中具有与在 .NET Framework 4.5.2 中相同的特性(至少在 XXE 注入方面)。为了回应我在问题中给出的具体示例,XmlDocument在 .NET Framework 4.5.1 中默认情况下是不安全的,但在 .NET Framework 4.5.2 和 .NET Core 2.1 中默认情况下是安全的。
为了让自己相信这一事实,我对 .NET Framework 4.5.1 和 4.5.2 以及 .NET Core 2.1 进行了测试。我的代码和结果可在 GitHub 上找到。
于 2020-04-08T19:57:38.303 回答