问题标签 [xxe]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
xml - 如何在 xerces C++ DOMLSParser 中禁用外部实体解析
我们正在使用 Xerces C++ DOMLSParser。我想禁用外部实体,但找不到 DOMLSParser 的任何内容。
如何禁用加载外部实体以防止 XXE 攻击?
wsdl - 通过 WSDLReader 预防 XXE
我正在使用 WSDLReader.readWSDL() 创建 Wsdl 定义。我想知道 javax.wsdl.WSDLReader 中是否有可用的标志来检查 WSDL 中的 XXE 攻击?
c# - HP fortify XML 外部实体注入
HP fortify 在以下代码中向我展示了 XML 外部实体注入:
在上面它显示了以下行中的漏洞xmlDoc.LoadXml(stringWriter.ToString());
我该如何解决这种情况?
java - 如何使用 JDK6 防止 XML 外部实体攻击
我的应用程序使用 JDK6。我必须在我的代码中修复 XXE 漏洞,能够找到如下解决方案。但以下代码仅适用于 JDK7。在不升级到 JDK7 的情况下,我有一个限制来解决这个问题。我找到的修复代码是
TransformerFactory tf = TransformerFactory.newInstance();
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
到目前为止,我尝试使用以下代码。但它并没有解决问题。
TransformerFactory tf = TransformerFactory.newInstance(); tf.setAttribute(XMLConstants.FEATURE_SECURE_PROCESSING, true);
java - Java 1.6 中的 XXE 预防
各位程序员,
我正在开发一个需要清除几个强化问题的 java 1.6 应用程序。迄今为止最大的问题是 XML 外部实体,因为在 1.6 中似乎没有对策。甚至 OWASP 备忘单也说:
请使用 Java 7 更新 67、Java 8 更新 20 或更高版本,否则以上针对 DocumentBuilderFactory 和 SAXParserFactory 的对策不起作用。
经过一些研究,我找到了一些有助于防止 XXE 的说明和设置,但没有最终结果。因此,任何帮助将不胜感激。这是我正在处理的代码。
遗憾的是,尽管我尽了最大努力,但由于姐妹应用程序和网络也是 1.6,我无法将应用程序带到 java 8 或 7。
任何帮助将不胜感激。
谢谢!
java - XML 外部实体引用的不当限制 - Java 与 DocumentBuilderFactory
我一直在尝试解决 Veracode“XML 外部实体引用的不当限制”缺陷。我在网上查找了这个问题,并找到了一些关于如何解决它的建议,即:
- 设置OWASP 备忘单中提到的功能
- 设置这里提到的 XMLConstants 功能
令我沮丧的是,Veracode 仍然报告了这个缺陷,坦率地说,我不知道如何继续。我安装了 Java 8 并使用了 JRE 1.8。
这是我的代码片段(根据 VGR 的建议编辑):
如何解决这个问题?
xml - Foxpro:是否可以禁用外部实体解析?
基于此处找到的文档: https ://msdn.microsoft.com/en-us/library/we9s91f8(v=vs.71).aspx
Microsoft Visual FoxPro 似乎能够从外部源进行 DTD 解析。
“当您使用 XMLTOCURSOR() 导入 XML 时,Visual FoxPro 使用外部或内部架构来确定游标或表结构。当没有提供架构时,Visual FoxPro 使用“最佳猜测”方法来解释 XML 数据。这涉及两次传递通过XML,一个是确定数据结构,一个是执行实际的转换。注意,XML除了格式良好外,一般还必须符合一种可以解释为表格的格式。格式良好的XML即不容易解构成表格格式会导入失败”
但是,没有提供关于如何禁用外部文档模式解析以防止 XML 外部实体注入的信息。是否可以禁用外部模式的解析,或者必须采用语言本身之外的策略来防止漏洞?
c# - XXE:使用 XDocument 对 XML 外部实体引用的不当限制
因此,当我对我的应用程序运行安全扫描时,我遇到了一个问题。事实证明,我未能防止 XXE。这是一个显示有问题的代码的简短片段:
根据 Veracode,不安全的行是XDocument fixedFilterXmlObj = XDocument.Load(new StringReader(filerNode.OuterXml));
但根据 Owsap 的说法,它应该是安全的:
默认情况下,System.Xml.Linq 库中的 XElement 和 XDocument 对象都可以防止 XXE 注入。XElement 仅解析 XML 文件中的元素,因此完全忽略 DTD。XDocument 默认禁用 DTD,并且仅在使用不同的不安全 XML 解析器构造时才不安全。
所以似乎我犯了使用 usafe XML Parser 的错误,打开XDocument了 XXE。
我找到了一个复制问题的单元测试,并且也可以安全使用,XDocument但我似乎无法找到我的代码到底是什么不安全,因为我不使用:
您可以运行我的代码来复制该问题,但您应该将带有空 xmlStr 的行替换为以下值:here(对于单个帖子来说太大)
java - Veracode XML 外部实体参考 (XXE) 解组 org.w3c.dom.Element
在解组Element时,我从代码扫描审计(Veracode)中得到了一个 XML 外部实体引用(XXE)漏洞。
如何修复上述代码中 XML 外部实体引用 ('XXE') 的不当限制?
java - Improper_Restriction_of_XXE_REF
我是使用 Checkmarx 工具的新手,通常只检查代码中的安全漏洞。我有一个应该从输入流中读取的方法。该方法有效,但是我收到 XXE 和 SSRF 错误。