Инъекция XML внешнего объекта: Hp Fortify проблема в Java 1.6

Question

Инъекция XML внешнего объекта: Hp Fortify проблема в Java 1.6

Я пытался исправить проблему XEE и пробовал другие варианты, но не работает. Было бы здорово, если бы были какие-либо указатели.

Ниже мой фрагмент кода..

ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
Source xmlSource = new DOMSource(feed);
Result outputTarget = new StreamResult(outputStream);
TransformerFactory.newInstance().newTransformer().transform(xmlSource,outputTarget);
is = new ByteArrayInputStream(outputStream.toByteArray());

0

java security owasp xxe application-security

Источник

user10419144 26 сен '18 в 13:50

1 ответ

Другие вопросы по тегам java security owasp xxe application-security

user4086042 28 сен '18 в 11:52 2018-09-28 11:52 · Answer 1 · 2018-09-28 11:52

Взгляните на Шпаргалку по профилактике OWASP XXE

основываясь на том, что я вижу в вашем коде, вы должны изменить его следующим образом:

ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
Source xmlSource = new DOMSource(feed);
Result outputTarget = new StreamResult(outputStream);

TransformerFactory tf = TransformerFactory.newInstance();
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

tf.newTransformer().transform(xmlSource,outputTarget);
is = new ByteArrayInputStream(outputStream.toByteArray());