问题标签 [xxe]

我想 Unmarshaller 的 XMLStreamReader 对象，但它给了我错误。

我的代码如下：-

错误 ：-

com.dummy.exception.InvalidArgException: 无法解析 XMLjava.lang.UnsupportedOperationException: 无法从 javax.xml.transform.dom.DOMSource 创建 XMLStreamReader 或 XMLEventReader\n\tat com.dummy.connectors.SoapConnector.soapRequest(SoapConnector.java :54)\n\tat org.dummy.test.consumer.test.proccedLogin(test.java:180)\n\tat org.dummy.test.consumer.test.proceeddummyRequest(test.java:87)\n\ tat org.dummy.test.consumer.test$$FastClassBySpringCGLIB$$46f53c92.invoke()\n\tat org.springframework.cglib.proxy.MethodProxy.invoke(MethodProxy.java:204)\n\tat org.springframework。 aop.framework.CglibAopProxy$CglibMethodInvocation.invokeJoinpoint(CglibAopProxy.java:746)\n\tat org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:163)\n\tat org.springframework.aop.interceptor。异步执行拦截器。lambda$invoke$0(AsyncExecutionInterceptor.java:115)\n\tat java.util.concurrent.FutureTask.run(Unknown Source)\n\tat java.util.concurrent.ThreadPoolExecutor.runWorker(Unknown Source)\n\tat java .util.concurrent.ThreadPoolExecutor$Worker.run(未知来源)\n\tat java.lang.Thread.run(未知来源)\n

请尽快给出解决方案。

谢谢

我想尝试使用转换器将soapbody对象转换为简单的字符串xml，但它给了我XML实体注入（xxe）

当我通过添加另外两个属性来解决时，它给了我 xxe 漏洞的例外：-

tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, ""); tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

然后它给了我其他例外，比如

java.lang.IllegalArgumentException：不支持：http://javax.xml.XMLConstants/property/accessExternalDTD

所以我的观点是：-

1.) 是否有其他方法可以将 soapBody.getPayloadSource() 转换为简单字符串？

2.）为什么它给我错误？

我参考https://rules.sonarsource.com/java/RSPEC-4435来解决 xxe 问题。

谢谢

Fortify 显示以下 C# 代码存在 XXE 漏洞：

请帮助我如何解决这个问题

我正在尝试在 html 页面中使用 XXE 攻击运行一些测试，但我无法提出一个可行的示例。在网上看了很久，我想出了这个：

但是，它不起作用。script 标签内的 XML 本身并没有“运行”，这意味着当警报弹出时，它只是将 xml 显示为纯文本。它不解释 DOCTYPE 标头并从列出的文件中获取信息。

因为显然 XML 没有“运行”，所以很难用谷歌搜索，但是在解释这个文本而不是仅仅写出的地方需要发生一些事情。我不知道那是什么，也不知道如何让它在 HTML 页面中工作，如此处所写。

非常感谢任何提示。谢谢！

跟进：HTML 中 XXE 攻击的基本工作示例

进行此跟进似乎比尝试将我的进度硬塞到上一个问题中更容易。我认为最好让该查询的正确答案看起来正确简单。

我现在已经将我的示例演变为以下内容：

在这里，我将 XML 作为字符串写入并使用 DOM 解析器对其进行解析。一切都按预期工作，除了 xxe 实体没有被任何东西填充。正如最后一个问题的回答者所说，firefox 似乎有可能阻止外部实体......东西。我还尝试在我的主目录中替换一个文本文件，但这也不起作用。我也尝试给出不带file://前缀的路径。到目前为止没有任何效果。

我可以确认 DTD 正在被解析和使用，所以这是向前迈出的一大步。

任何提示表示赞赏~！

为了防止XXE攻击，我试图覆盖weblogic 12c的默认DocumentBuilderFactoryImpl并使用我自己的解析器。

我正在尝试下面的代码。

但没有运气。

谁能帮我这个？有没有办法做到这一点？

*****编辑******

我已经尝试过 Spring-Security 配置来防止 XXE。

此代码适用于 Tomcat，但不适用于 Weblogic。

我正在尝试确定 .NET Core 应用程序是否容易受到 XML 外部实体 (XXE) 注入攻击。我阅读了这个 OWASP XXE 预防备忘单，例如，它告诉我，XmlDocument在 4.5.2 之前的 .NET Framework 版本中默认情况下这是不安全的。我找不到 .NET Core 版本的任何类似文档。我看到 .NET Core 是在 .NET Framework 4.6.2 的几个月内发布的。因此，我可以假设这些 XML 解析器在 .NET Core 中默认是安全的吗？

我在强化报告中收到了第 4 行的 XML 外部实体注入安全警告。不知道如何解决它。我对 SOAP、JAXB 和 Marshaller 还是很陌生。

第 4 行（XML 外部实体注入）高
问题详细信息
王国：输入验证和表示
扫描引擎：SCA（语义）
接收器详细信息
接收器：unmarshal()

提前致谢！

NVD 将 PostgreSQL JDBC 驱动程序报告为具有高严重性 (7.7) 的 XXE 漏洞，请参阅https://nvd.nist.gov/vuln/detail/CVE-2020-13692。这种类型的漏洞与解析 XML 中的外部实体有关。

不过，我找不到有关如何实际使用受损 XML 文件来利用 PostgreSQL JDBC 驱动程序中的此漏洞的信息。是当应用程序尝试在数据库中存储 XML 文件时？是否有解析的 XML 配置文件在受到破坏时会导致问题？其他用途？我如何知道易受攻击的部分是否实际用于我的应用程序以及它是否易受攻击？

我有一个像下面这样的方法。我已将 FEATURE_SECURE_PROCESSING 设置为 true。

当我在下面运行我的单元测试时，我可以列出项目目录下的文件，这意味着它容易受到 XXE 攻击。

如何保护 TransformerFactory 免受此类攻击？