防止對JBoss 4.2的XXE攻擊4.2

2015-07-21 76 views 1 likes

是否有可能以某種方式防止部署在JBoss 4.2上的Web服務的xxe攻擊？ WS由註釋定義。我找不到任何配置來禁用支持外部實體和dtd。防止對JBoss 4.2的XXE攻擊4.2

在這篇文章中（Prevent XXE Attack with JAXB）是解析servlet中的soap的解決方案，但我需要一些用於註釋的WS。

2015-07-21 n1cr4m

回答

長時間的調試運行JBoss的代碼後，我已經找到了JBoss上XXE攻擊的修復4.2.2

在DOMUtils.class（位於將JBossWS-common.jar）我已經添加上的DocumentBuilderFactory額外功能例如：

factory.setFeature("http://xml.org/sax/features/external-general-entities", false); 
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

它解決了這個問題。

來源

2015-07-27 11:06:36 n1cr4m

相關問題

11. 防止MDX注入攻擊
12. angularjs防止XSS攻擊
13. 防止輸入型攻擊
14. 防止重複blockchain攻擊
15. Arquillian JAVA EE 5和JBoss 4.2
16. JBoss wildfly 10 NoClassDefFoundError從JBoss 4.2遷移時
17. jboss 7.1將ejb調用到jboss 4.2
18. 從JBoss 4.2連接到JBoss 7.1
19. 防止類似於PHP的DoS攻擊的蠻力攻擊
20. 阻止IP地址，防止DoS攻擊
21. 的JBoss 4.2啓動拋出的NoClassDefFoundError
22. 防止SQL/XXS攻擊的類？
23. 防止ASP.NET MVC中的CSRF攻擊
24. 防止WCF調用中的XSS攻擊
25. 防止Magento中的XSS攻擊
26. 防止jQuery的CSRF和XSRF攻擊$ .post
27. 改進Jboss 4.2非常慢的啓動
28. 如何查找jBoss 4.2中的ejb？
29. Android防止人爲攻擊SSL中間人攻擊
30. 如何保護.NET Web服務免受XXE漏洞攻擊？