xxe相关内容
我希望在我的项目中防止XXE攻击。它是在Java 7(no maven)和JBoss-as-7服务器上运行的旧API项目。但在执行过程中,我收到错误: 无法识别org.xml.sax.SAXNotRecognizedException:属性“http://javax.xml.XMLConstants/property/accessExternalDTD”。 org.xml.sax.SAXN
..
最近,我们对我们的代码进行了安全审核,其中一个问题是我们的应用程序受到了Xml 外部实体 (XXE) 攻击. 基本上,该应用程序是一个计算器,通过 Web 服务接收 XML 格式的输入. 以下是对我们的应用程序进行此类 XXE 攻击的示例:
..
我正在使用 Apache FOP 2.4 生成一个带有 XML 文件作为输入的 PDF 文档.为了防止 XXE 攻击,我需要在 TransformerFactory 中设置安全处理功能 (FEATURE_SECURE_PROCESSING): InputStream xslTransformer = getClass().getClassLoader().getResourceAsStream(
..
我正在使用Apache FOP 2.4生成带有XML文件作为输入的PDF文档.为了防止XXE攻击,我需要在TransformerFactory中设置安全处理功能(FEATURE_SECURE_PROCESSING): InputStream xslTransformer = getClass().getClassLoader().getResourceAsStream("foo.xsl");T
..
请遵循以下步骤: XXE的基本工作示例用HTML攻击 看来,进行此跟进工作要比尝试费劲地解决上一个问题要容易得多.我认为最好让该查询的正确答案显得简单明了. 我现在将示例扩展为以下内容: Title
..
我正在尝试在html页面中对XXE攻击进行一些测试,但是我很难提出一个可行的示例.在互联网上浏览了很长时间后,我想到了这个: Title
..
Hp fortify向我展示了以下代码上的XML外部实体注入: StringBuilder sb = new StringBuilder(); StringWriter stringWriter = new StringWriter(sb); xmlSerializer.Serialize(stringWriter, o); XmlDocument xmlDoc = new XmlDocum
..
我的问题: Fortify 4.2.1将以下代码标记为容易受到XML外部实体攻击. TransformerFactory factory = TransformerFactory.newInstance(); StreamSource xslStream = new StreamSource(inputXSL); Transformer transformer = factory.ne
..
我在veracode报告中得到了下一个发现: XML外部实体引用('XXE')的不当限制(CWE ID 611) 引用下面的代码 ... DocumentBuilderFactory dbf=null; DocumentBuilder db = null; try { dbf=DocumentBuilderFactory
..
作为最后的选择,我在这里发布了一个问题,我浏览了网络并进行了许多尝试,但没有成功. 为了防止这种情况,我正在尝试复制XXE攻击,但是我似乎无法理解PHP与XML实体一起工作的方式.作为记录,我在Ubuntu 12.04上使用PHP 5.5.10,但是我已经在5.4和5.3上进行了一些测试,并且libxml2似乎是版本2.7.8(似乎不包括默认的不解析实体). 在以下示例中,使用true
..
我试图防止由我的应用程序处理的XML中的恶意XXE注入.因此,我使用的是XDocument而不是XmlDocument. XML表示Web请求的有效负载,因此我在其字符串内容上调用XDocument.Parse.但是,我看到XML(& XXE)中包含的XXE引用在结果中被ENTITY xxe的实际值替换. 是否可以在不替换& xxe的情况下使用XDocument解析XML? 谢谢
..
最近,我们对我们的代码进行了安全审核,其中一个问题是我们的应用程序受到 Xml eXternal Entity (XXE)攻击。 基本上,应用程序是一个通过Web服务以XML形式接收输入的计算器。 以下是此类XXE攻击的示例在我们的申请中:
..