xxe

    2熱度

    1回答

    我已經得到了下一個發現我的Veracode的報告: XML外部實體( 'XXE')的不當限制(CWE ID 611) 指下一個代碼波紋管 ... > DocumentBuilderFactory dbf=null; DocumentBuilder db = null; try { dbf=DocumentBuilderFactory.newInstance(); > dbf.setFe

    0熱度

    1回答

    我正在使用WSDLReader.readWSDL()創建一個Wsdl定義。 我想知道在javax.wsdl.WSDLReader中是否有可用的標誌檢查WSDL中的XXE攻擊?

    2熱度

    1回答

    我的問題: Fortify的4.2.1被標記下面代碼XML外部實體攻擊的敏感。 TransformerFactory factory = TransformerFactory.newInstance(); StreamSource xslStream = new StreamSource(inputXSL); Transformer transformer = factory.newTrans

    0熱度

    1回答

    因此,當我在應用程序上運行安全掃描時遇到了問題。 It turns out that I am failing to protect against XXE。 下面是該問題的代碼短的片段: static void Main() { string inp = Console.ReadLine(); string xmlStr = ""; //This has

    1熱度

    1回答

    是否有可能以某種方式防止部署在JBoss 4.2上的Web服務的xxe攻擊? WS由註釋定義。我找不到任何配置來禁用支持外部實體和dtd。 在這篇文章中(Prevent XXE Attack with JAXB)是解析servlet中的soap的解決方案,但我需要一些用於註釋的WS。

    1熱度

    1回答

    我試圖保護一個.NET web服務對XXE漏洞利用。 對於基礎SOAP消息是XML,它可能存在風險。 可以找到一種禁止XML文檔的DTD處理的方法here和here。 但是,SOAP消息的XML解析由框架完成。 如何修改XML閱讀器的設置以關閉DTD處理? 我還尋找一個掛鉤來直接訪問XML內容,但在WebService的文檔中找不到任何適合的內容。

    0熱度

    1回答

    根據相關文檔在這裏找到: https://msdn.microsoft.com/en-us/library/we9s91f8(v=vs.71).aspx 看來,微軟的Visual FoxPro能夠進行DTD從外部來源解析的。 「當你使用XMLTOCURSOR()導入XML,VisualFoxPro使用一個 外部或內部模式,以確定光標或表 結構。當沒有提供模式,VisualFoxPro使用‘最佳 猜