1
我試圖保護一個.NET web服務對XXE漏洞利用。 對於基礎SOAP消息是XML,它可能存在風險。如何保護.NET Web服務免受XXE漏洞攻擊?
可以找到一種禁止XML文檔的DTD處理的方法here和here。 但是,SOAP消息的XML解析由框架完成。
如何修改XML閱讀器的設置以關閉DTD處理?
我還尋找一個掛鉤來直接訪問XML內容,但在WebService的文檔中找不到任何適合的內容。
A
回答
1
我做了一些測試,表明ASP.NET web服務受保護免受XXE攻擊。 框架似乎默認關閉DTD處理。
我用Soap UI進行測試。 只要添加一個DOCTYPE定義,就像
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root[
<!ENTITY laugh "hahahahaha">
]>
導致錯誤的請求錯誤(HTTP狀態400)。
爲了確保我不只搞亂SOAP消息,我還單獨驗證了 XML內容。
相關問題
- 1. 如何保護Web服務免受拒絕服務攻擊?
- 2. 保護web服務器免受ssh暴力攻擊
- 3. 如何保護Tibco BW免受POODLE攻擊? (SSL 3.0協議漏洞)
- 4. 如何保護網站免受攻擊
- 5. 如何保護WebRTC免受MitM攻擊?
- 6. 保護亞馬遜網絡服務(AWS)S3免受DDoS攻擊
- 7. 配置nginx來保護Windows服務器免受攻擊
- 8. 保護api免受重播攻擊
- 9. 保護自己免受Dos攻擊
- 10. 保護ECDH免受MITM攻擊
- 11. DDOS攻擊..如何保護服務器
- 12. 如何保護java.lang.Object的受保護方法免受子類攻擊?
- 13. 如何防止XXE攻擊
- 14. 如何使用iXGuard保護iOS應用程序免受攻擊者攻擊
- 15. 如何使用HTTPOnly Cookies來保護JWT免受XSRF攻擊?
- 16. 如何保護網站免受DoS攻擊
- 17. 如何保護字符串免受黑客攻擊
- 18. 如何保護Angular 2 SPA免受XSS攻擊?
- 19. 如何保護PHP圖像上傳腳本免受攻擊?
- 20. 如何保護Symfony登錄免受計時攻擊?
- 21. Emacs nXhtml漏洞攻擊
- 22. 主機頭攻擊漏洞
- 23. 如何在.net中保護web服務?
- 24. 友好的服務器黑客攻擊(確定漏洞)
- 25. 保護bios免受攻擊性很強的程序
- 26. WCF安全 - 在中間攻擊中保護人免受
- 27. AWS是否保護我的網站免受DDoS攻擊?
- 28. 使用SSL配置保護JBoss 7免受野獸攻擊
- 29. 保護基於WIF的會話免受相關域Cookie攻擊
- 30. 如何防止XXE攻擊(.net中的XmlDocument)