Исправление исправления для инъекции внешнего объекта XML

Question

Исправление исправления для инъекции внешнего объекта XML

Когда я сканировал с использованием инструмента fortify, у меня возникали некоторые проблемы в разделе "Внедрение внешнего объекта XML".

TransformerFactory trfactory = TransformerFactory.newInstance();

Это место, где он показывает ошибку. Я дал следующее исправление, как предложено fortify

trfactory.setFeature("http://xml.org/sax/features/external-general-entities", false); 
trfactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

но все же проблемы не устранены. Как исправить эту проблему?

9

java fortify xxe

Источник

user1643489 07 июл '16 в 13:49

4 ответа

Другие вопросы по тегам java fortify xxe

user1812235 04 авг '17 в 09:48 2017-08-04 09:48 · Answer 1 · 2017-08-04 09:48

TransformerFactory trfactory = TransformerFactory.newInstance();
trfactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
trfactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
trfactory.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

Этого было бы достаточно.

4

Источник

user1812235 04 авг '17 в 09:48

user4255938 17 сен '16 в 10:45 2016-09-17 10:45 · Answer 2 · 2016-09-17 10:45

Иногда это не будет работать, если Java-версия не совместима.

if (javaVersion > 1.6) {
        dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
        dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
      }
else {
        if (javaVersion > 1.5) {
          dbf.setFeature("http://xerces.apache.org/xerces2-j/features.html#external-general-entities", false);
          dbf.setFeature("http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities", false);
        }
else {
          dbf.setFeature("http://xerces.apache.org/xerces-j/features.html#external-general-entities", false);
          dbf.setFeature("http://xerces.apache.org/xerces-j/features.html#external-parameter-entities", false);
        }
 }

У меня это сработало:-)

user1643489 14 июл '16 в 15:43 2016-07-14 15:43 · Answer 3 · 2016-07-14 15:43

Я попытался с классом реализации "Xalan" вместо TransformerFactory.newInstance(). Это сработало для меня, и проблема с фортификацией была исправлена

        TransformerFactoryImpl transformerFactoryImpl = new TransformerFactoryImpl();
        Transformer transformer = transformerFactoryImpl.newTransformer();

0

Источник

user1643489 14 июл '16 в 15:43

user4944963 23 сен '16 в 10:46 2016-09-23 10:46 · Answer 4 · 2016-09-23 10:46

Вы также можете попробовать:

    TransformerFactoryImpl transformerFactoryImpl = new TransformerFactoryImpl();
    Transformer transformer = transformerFactoryImpl.newTransformer();
    transformer.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);

0

Источник

user4944963 23 сен '16 в 10:46

user12951964 24 фев '20 в 10:28 2020-02-24 10:28 · Answer 5 · 2020-02-24 10:28

Добавьте эту строку. У меня это сработало.

factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

0

Источник

user12951964 24 фев '20 в 10:28