Описание тега xxe
Внешний объект XML (XXE)
1
ответ
XXE и миллиард смеется
Возможно ли xxe и миллиард смеха с использованием xmlpullfactory? Я пробовал ниже xml code <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE author [ <!ELEMENT author (#PCDATA)> <!ENTITY js "Jo Smith"> ]> <author>&j…
06 май '15 в 15:01
4
ответа
Исправление исправления для инъекции внешнего объекта XML
Когда я сканировал с использованием инструмента fortify, у меня возникали некоторые проблемы в разделе "Внедрение внешнего объекта XML". TransformerFactory trfactory = TransformerFactory.newInstance(); Это место, где он показывает ошибку. Я дал след…
07 июл '16 в 13:49
1
ответ
Внешняя ссылка на Veracode XML (XXE)
В моем отчете veracode есть следующая находка: неправильное ограничение ссылки на внешнюю сущность XML ('XXE') (CWE ID 611) со ссылкой на следующий код ниже ... > DocumentBuilderFactory dbf=null; DocumentBuilder db = null; try { dbf=DocumentBuild…
22 июн '15 в 11:29
0
ответов
Как отключить DTD, обрабатываемые в IIS
Кто-нибудь знает, как запретить анализатору SOAP XML в IIS/ASP.NET обрабатывать DTD, встроенные в запрос XML? Это важно в качестве защиты от атаки XXE (внешние объекты XML). Большинство сообщений в сети рекомендуют различные параметры XmlReaders, ко…
09 май '18 в 01:26
0
ответов
Fortify XML Inject Entity Injection
Я решил внедрить XML Entity External Entity с помощью класса DocumentBuilderFactory, используя приведенный ниже код. DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-d…
21 янв '19 в 13:44
1
ответ
Проверьте DTD и XXE в XML, используя цель c libxml2
<?xml version="1.0" ?> <!DOCTYPE list [ <!ELEMENT list (bsinfo+)> <!ELEMENT bsinfo (id,title,desc,books)> ]> <list> <bsinfo> В моем проекте я хочу проверить, содержит ли XML DTD или нет. В настоящее время я исполь…
24 янв '16 в 13:33
1
ответ
Как отключить XInclude при разборе XML?
Мне дали понять, что XInclude является потенциальной уязвимостью при получении XML из ненадежных источников. См. https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet XML, который я ожидаю от внешних источников, довольно п…
06 ноя '18 в 08:53
1
ответ
Как исправить это Unmarshal Exception с JAXB, которое возникло при исправлении уязвимостей XXE?
Формат XML-сообщения, которое мы должны обработать, таков: <?xml version="1.0" encoding="UTF-8"?> <ns0:MessageType xmlns:ns0="http://www.path.to/some/schema.xsd"> <ns0:NonRelevantBody> .... </ns0:NonRelevantBody> </ns0:Mes…
27 авг '18 в 14:44
1
ответ
XXE: Неправильное ограничение ссылки на внешнюю сущность XML с помощью XDocument
Поэтому я сталкиваюсь с проблемой, когда запускаю проверку безопасности своего приложения. Оказывается, я не в состоянии защитить от XXE. Вот небольшой фрагмент кода, показывающий код ошибки: static void Main() { string inp = Console.ReadLine(); str…
19 сен '17 в 15:16
0
ответов
Демонстрация XXE(внешний XML-объект) атака - Spring Boot
Я хочу выполнить XXE-атаку, я следовал этому руководству https://grokonez.com/java-integration/convert-java-object-intofrom-xml-spring-boot и пытался атаковать с помощью внедрения сущностей xxe.xml <?xml version="1.0" encoding="UTF-8"?> <!D…
04 авг '18 в 02:57
0
ответов
Справочник по внешнему объекту Veracode XML (XXE) unmarshaling org.w3c.dom.Element
Я получаю уязвимость XML External Entity Reference (XXE) от аудита сканирования кода (Veracode) при демонтаже элемента. public static <T> T unMarshal(org.w3c.dom.Element content, Class<T> clazz) throws JAXBException { JAXBContext jaxbCon…
16 окт '17 в 15:56
1
ответ
HP fortify XML Inject Entity Injection
Hp fortify показывает мне инъекцию внешнего объекта XML в приведенный ниже код: StringBuilder sb = new StringBuilder(); StringWriter stringWriter = new StringWriter(sb); xmlSerializer.Serialize(stringWriter, o); XmlDocument xmlDoc = new XmlDocument(…
08 фев '17 в 22:54
0
ответов
Как устранить ошибку "Неправильное ограничение ссылки на внешнюю сущность XML" ("XXE")?
Недавно мы провалили проверку безопасности Veracode из-за нескольких ошибок CWE-611: Неправильное ограничение ссылки на внешнюю сущность XML ('XXE'). На эту тему было задано несколько вопросов, на которые я ответил, и я попытался использовать предос…
05 апр '16 в 16:05
0
ответов
Профилактика XXE в Java 1.6
Коллеги-программисты, Я работаю над приложением Java 1.6, которое необходимо очистить от нескольких проблем с фортификацией. До сих пор самым проблематичным был XML External Entity, потому что в 1.6 нет никаких контрмер. Даже в OWASP есть: Пожалуйст…
05 май '17 в 18:11
1
ответ
Как отключить XXE в libxml2in C?
Требование: когда я передаю следующий запрос к моей заявке, 1) Как сделать проверку XML на такой входной XML, который является риском 2) Как отключить XXE в libxml2, т.е. не следует разбирать поле ENTITY <?xml version="1.0"?> <!DOCTYPE foo …
08 апр '14 в 07:12
1
ответ
Предотвратить нападение XXE с JAXB
Недавно мы провели аудит безопасности нашего кода, и одна из проблем заключается в том, что наше приложение подвергается атаке Xml eXternal Entity (XXE). По сути, приложение представляет собой калькулятор, который получает входные данные в виде XML …
19 окт '12 в 15:14
6
ответов
Небольшое исправление для CVE-2016-3720 с более старыми версиями jackson-all-1.9.11 и в jackson 2.x, которые не исправлены
Объяснение CVE-2016-3720 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3720 является расплывчатым, но при чтении кода я обнаружил следующие проблемы. Даже после устранения проблем инструмент проверки зависимостей OWasp по-прежнему сообща…
24 июн '16 в 16:06
1
ответ
Как я могу защитить.NET Web Services от эксплойтов XXE?
Я пытаюсь защитить веб-сервис.NET от эксплойтов XXE. Поскольку основным сообщением SOAP является XML, оно потенциально находится под угрозой. Способ запретить обработку DTD для документов XML можно найти здесь и здесь. Однако синтаксический анализ с…
30 ноя '16 в 14:23
1
ответ
Инъекция XML внешнего объекта: Hp Fortify проблема в Java 1.6
Я пытался исправить проблему XEE и пробовал другие варианты, но не работает. Было бы здорово, если бы были какие-либо указатели. Ниже мой фрагмент кода.. ByteArrayOutputStream outputStream = new ByteArrayOutputStream(); Source xmlSource = new DOMSou…
26 сен '18 в 13:50
1
ответ
Внешний объект XML (XXE) - уязвимости внешних параметров и внешних общих объектов
Чтобы предотвратить атаки XXE, я отключил перечисленные ниже функции в соответствии с рекомендациями для Java DocumentBuilderFactory - https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet. dbf.setFeature("http://apache.or…
21 янв '19 в 06:23