Fortify XML Inject Entity Injection

Question

Fortify XML Inject Entity Injection

Я решил внедрить XML Entity External Entity с помощью класса DocumentBuilderFactory, используя приведенный ниже код.

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);

Я хотел бы написать контрольный пример, в котором заданный вход будет обойден этими функциями: (dbf.setFeature (" http://apache.org/xml/features/disallow-doctype-decl", true);) и dbf.setXIncludeAware(ложь); и dbf.setExpandEntityReferences(false);

И тот же самый ввод должен быть заблокирован только dbf.setFeature (" http://xml.org/sax/features/external-general-entities", false);

Мое намерение состоит в том, чтобы блокировать определенный контент только с помощью dbf.setFeature (" http://xml.org/sax/features/external-general-entities", false); но не с другими.

Пожалуйста, предоставьте указатели здесь.

0

java xml xml-parsing xmlsec xxe

Источник

user942060 21 янв '19 в 13:44

0 ответов

Другие вопросы по тегам java xml xml-parsing xmlsec xxe