问题标签 [xxe]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 解析 XML 时如何禁用 XInclude?
我已经了解到,XInclude当从不受信任的来源接收 XML 时,这是一个潜在的漏洞。见https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java
我期望从外部来源获得的 XML 非常简单,并且从来不需要包含外部 XML。
我尝试了以下方法来禁用 XInclude(如备忘单中推荐的那样):
并使用此 XML 进行测试
外部文件包含无效的 XML。
我曾预计如果setXIncludeAware设置为解析器会失败,true但事实并非如此。该片段始终是可解析的。我正在使用 Java 8。
这是一个有效的测试吗?这是避免 XInclude 攻击的正确方法吗?
java - 如何使用 java 1.6 防止 XXE 攻击
如何使用 Java 1.6 防止 XXE 攻击?我搜索的大多数示例都使用 Java 1.7。目前我们需要坚持使用 Java 1.6。
java - Spring Boot 集成 XXE 预防设置
我们有一个spring boot+spring集成的应用,我们正在尝试引入XXE攻击防护。
在 java 代码中,我们可以根据以下链接进行更改https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXTransformerFactory
我在github中有示例工作示例,其中应用程序使用活动 mq 作为队列管理器。 示例输入 xml
我可以在上述示例中进行哪些更改以启用 XXE 预防。
请帮助我。
java - Checkmarx 报告中出现 XMLStreamReader / InputStream xxe 漏洞
这些代码行导致 xxe 漏洞出现在 Checkmarx 报告中:
该问题指出:
“应用程序使用 createXMLStreamReader 向远程服务器发送针对某些资源的请求。但是,攻击者可以通过在 getInputStream 中发送 URL 或其他数据来控制请求的目标。”
任何想法如何解决这个问题?
java - XML 外部实体 (XXE) - 外部参数实体和外部通用实体漏洞
为了防止 XXE 攻击,我按照 Java DocumentBuilderFactory 的建议禁用了以下功能 - https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet。
如果我不将 external-general-entites 和 external-parameter-entities 设置为 false,是否存在任何漏洞?因为当我们将 disallow-doctype-decl 设置为 true 并将 XIncludeAware 设置为 false 时,它不允许扩展这些外部实体。
从上面的代码中删除这两行是否安全 -
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);或者也必须保留它们。如果它是强制性的,如果我们不将它们设置为 false 会有什么漏洞?
请提供特定于 external-genereal/Parameter-entities 的漏洞示例,即使我们将 disallow-doctype 设置为 true,XIncludeAware 设置为 false,ExpandEntityReferences 设置为 false。
java - DocumentBuilderFactory 无法设置功能 FEATURE_SECURE_PROCESSING
我正在尝试创建一个FEATURE_SECURE_PROCESSING设置为DocumentBuilderFactory 的实例true。当我尝试 setFeature 时,我不断收到 ParserConfigurationException。
.net - WCF 是否容易受到 XXE 攻击
WCF 服务是否容易受到 XXE 攻击?如果是,有没有办法防止它?最近我们在我的公司对我们的应用程序进行了安全审计,他们强调他们能够将额外的内容发送到 API(以外部实体的形式)并且他们收到了 200 响应。由于时间限制,他们没有展示如何利用它,但提出了一个问题。我的任务是对其进行审查并采取行动,但我找不到任何在 WCF 中讨论 XXE 的资源——这让我想知道 WCF 是否旨在防止 XXE 攻击。
任何帮助/线索表示赞赏
c# - 我是否必须将 XMLResolver 设置为 null 才能防止 XXE 攻击?
我正在尝试重现以下链接中发布的 XXE 场景
正如我从文档中读到的,当未明确设置 XMLResolver 时,以下代码块在使用 4.5.2+ 目标框架版本运行时不应加载 DTD。但是我看到了文件的内容。如果我将 XMLResolver 设置为 null 它不会按预期加载内容。
为什么目标框架不影响结果?我的目标是在这里验证这个场景并将解决方案应用到我的项目中。
asp.net - XXE文件泄露漏洞预防
我的 asp.net 应用程序中有 XXE 文件泄露漏洞,但我的应用程序中没有处理任何 xml 数据。请帮助我进行更改以防止此漏洞。
jekyll - 使用 Github Pages 托管的 Jekyll 站点中是否需要 gemfile.lock 文件?
最近我进入 Jekyll 建立文档站点并将它们托管在 Github Pages 上。我知道 Github Pages 的插件列表非常有限。在进行一些漏洞测试时,我发现文件Gemfile.lock容易受到 XML 外部实体 (XXE) 注入的攻击。
在我的研究中,我读到:
阅读接受的答案后:
假设您没有编写 rubygem,Gemfile.lock 应该在您的存储库中。它用作所有所需 gem 及其依赖项的快照。这样,bundler 就不必在每次部署时重新计算所有 gem 依赖项等。
但我无法控制 Jekyll 网站。请纠正我,如果我理解这个过程,但 Github Pages 构建了网站,如果Gemfile.lock用于 Gems 的开发,这不是我可以控制的,可以删除文件并添加到.gitignore吗?