xxe

xml - 如何针对 XXE 全局配置 XML 解析器？

用Java解析XML变得非常简单。大多数代码最终会调用DocumentBuilderFactory.newInstance()，它返回易受XXEkindofattacksbydefault攻击的XML解析器。.OWASP文档详细解释了如何配置从DocumentBuilderFactory返回的XML解析器以防止此类攻击，但我如何将其设置为默认值？我的问题是我正在使用像JDOM2这样的库和其他处理XML的代码，我不能轻易地更改所有这些代码。我如何使安全解析器成为默认解析器？我已经看到DocumentBuilderFactory支持javax.xml.parsers.DocumentBui

xml - 在 JBoss EAP 5.0.1 下防止 XML 外部实体注入(inject)基于 Soap 的 Web 服务

我们正在使用JBossEAP5.0.1和JBossWS3.0.4，我们正试图找到一个解决方案来防止XML外部实体注入(inject)。除了将其升级到更高版本之外，如何解决此问题？最佳答案为了防止暴露的RESTEasyXML端点中的实体扩展，将其添加到web.xml中:resteasy.document.expand.entity.referencesfalse我找到了这个here，此问题与版本7.7和8.4有关，但也可能适用于旧版本。关于xml-在JBossEAP5.0.1下防止X

inject JBoss section param context-param xml xxe

java - 解析 XML 时如何禁用 XInclude？

我了解到XInclude在从不受信任的来源接收XML时是一个潜在的漏洞。参见https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java我期望从外部来源获得的XML非常简单，并且从来没有任何要求包含外部XML。我尝试了以下方法来禁用XInclude(按照备忘单中的建议):DocumentBuilderFactorydbf=DocumentBuilderFactory.newInstance();dbf.setXIncludeAware(false);dbf.setExpandE

XInclude java code section xml xxe

java - 如何保护 Jersey 服务器上的 xml 请求？

我目前有一个使用jersey-server1.1框架创建的简单xml端点(示例)。它使用以下符号使用和生成XML:@POST@Path("/post")@Consumes(MediaType.APPLICATION_XML)@Produces(MediaType.APPLICATION_XML)publicResponsegetEmployee(Employeeemployee){returnResponse.status(Status.OK).entity(employee).build();}但是端点容易受到XXE攻击。(例子)也可以让我的服务器使用这种表示法来请求任何端点....

Jersey java code APPLICATION JAXBContext xml jax-rs xxe

java - 如何防止 TransformerFactory 上的 XML 外部实体注入(inject)

我的问题:Fortify4.2.1将以下代码标记为易受XML外部实体攻击。TransformerFactoryfactory=TransformerFactory.newInstance();StreamSourcexslStream=newStreamSource(inputXSL);Transformertransformer=factory.newTransformer(xslStream);我试过的解决方法:将XMLConstants.FEATURE_SECURE_PROCESSING的TransformerFactory功能设置为true。研究了向TransformerFac

TransformerFactory inject section code java xml xslt fortify xxe

c# - 如何在 .net 反序列化期间防止 XML 外部实体 (XXE) 攻击

我们正在使用veracode对我们的代码进行安全分析，它显示了以下代码的XXE漏洞，特别是在调用Deserialize()的地方。我们如何防止序列化程序访问外部实体。我在下面为XMLReader将XMLresolver设置为null的尝试不起作用。publicstaticTDeserializeObject(stringxml,stringNamespace){System.Xml.Serialization.XmlSerializerserializer=newSystem.Xml.Serialization.XmlSerializer(typeof(T),Namespace);Me

c#何在 section settings XmlReaderSettings .net xml veracode

c# - XXE:使用 XDocument 对 XML 外部实体引用的不当限制

因此，当我对我的应用程序运行安全扫描时遇到了问题。ItturnsoutthatIamfailingtoprotectagainstXXE.这是一个显示有问题的代码的简短片段:staticvoidMain(){stringinp=Console.ReadLine();stringxmlStr="";//Thishasavaluethatismuchtoolongtoputintoasinglepostif(!string.IsNullOrEmpty(inp)){xmlStr=inp;}XmlDocumentxmlDocObj=newXmlDocument{XmlResolver=null

c#不当 XDocument code section xml linq-to-xml veracode xxe

c# - asp.net .asmx web 服务 ishow XXE 漏洞 - 外部 DNS

我们在我们的asp.netasmx网络服务中发现了一个XML外部实体漏洞。我们正在使用burp套件测试asp.net.asmx网络服务，以检查XML外部实体处理漏洞。看:https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#net我们看到，当DTD包含在请求中时，如下所示:DNS请求被发送到cigitalcollaborator.com。这表明asmx网络服务正在处理请求中的DTD。我们使用的是.net版本4.5.2。根据此链接，.net4.5.2及更

c#ishow code section DtdProcessing asp.net xml asmx xxe

java - 针对 XML 外部实体注入(inject)的 Fortify 修复

当我使用fortify工具进行扫描时，我在“XML外部实体注入(inject)”下遇到了一些问题。TransformerFactorytrfactory=TransformerFactory.newInstance();这是显示错误的地方。我已经按照fortify的建议进行了以下修复trfactory.setFeature("http://xml.org/sax/features/external-general-entities",false);trfactory.setFeature("http://xml.org/sax/features/external-parameter-e

Fortify inject section trfactory TransformerFactory java xxe

BUUCTF basic BUU XSS COURSE 1 & BUU XXE COURSE 1

BUUXSSCOURSE1启动靶机，发现就一个吐槽框，尝试xss语句aLErT(1) 访问一下这个地址，发现并没有弹窗，感觉是把script过滤了，那我们尝试植入img图像标签访问一下给的地址看来是可以进行xss攻击，打开xss平台，找一个关于img标签的语句把标灰的字段复制到吐槽框中，提交访问一下给的地址，刷新一下，发现浏览器左下角有关于xss平台的网络请求，刷新一下xss平台复制标灰的cookie，并访问一下右侧的/backend/admin.php 打开editthiscookie浏览器插件（firefox）在地址栏输入PHPSESSID，在值栏粘贴之前复制的cookie，点击

COURSE BUU xff0c xff0 img 安全

12 3 4