1

私は、doctype宣言を含むxml soaprequestをサーバーに送信しているクライアントを使用しています

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY xxe SYSTEM "///etc/SuSE-brand">
]>

エンティティの 1 つで &xxe; を送信しています。としての入力として<comments>&xxe;</comments>。これが外部エンティティ インジェクションです。サーバー側では、リクエストが最初に到達したときに解析され、コメント フィールドに場所 /etc/SuSe-brand のテキストが表示されます。

この Doctype の解析を停止したいのですが、Doctype があるかどうかを確認してから、解析を停止する必要があります。または、XML エンティティ インジェクションのチェックに使用する JAX-WS のバージョンを誰か提案できますか?

4

1 に答える 1

0

jaxws のバージョンを 2.1.3 から 2.1.7 に変更するなど、多くのことを試しましたが、xml エンティティ インジェクションはブロックされませんでした。私の変更をモデレートしてから、変更されたsoaprequestをさらに送信します。

于 2012-07-26T05:12:38.333 に答える