「CYBER SECURITY」に関連する Java の「MOST SECURE」XML 解析ライブラリを選択する必要があります。
どの API ライブラリが最も安全かを確認するにはどうすればよいですか? すべての XML ライブラリを選択して、すべてのライブラリの仕様を確認することはできません。調べる必要がある要件は何ですか? どこから始めればよいかは、私が探しているものです。
悪用される可能性のある XML の機能に関する情報を提供するリンクに出会いました。 xml の脆弱性
XML ファイルを解析する安全な方法に関連するドキュメントまたはリンクは大歓迎です。
いくつかのセキュリティ要因を考慮する必要があります。
ライブラリでサポートされている xml 仕様に注意を払い、例外に注意する必要があります。
この質問は次のリンクにリンクされています: セキュア XML パーサー
セキュリティは 1 次元のプロパティではありません。あるパーサーには 83 オンスのセキュリティがあり、別のパーサーには 98 オンスがあるとは言えません。したがって、あるパーサーが別のパーサーよりも「安全」であるという考えはナンセンスです。懸念しているリスクの種類と、それらのリスクに対して特定のパーサーが提供する防御策について具体的に説明する必要があります。
たとえば、オープンソース コードはクローズド ソース コードよりも安全である (検査に利用できるため) 場合もありますが、安全性が低い場合もあります (ハッカーがバックドアをインストールしやすいため)。
いくつかのコメント/提案:
「セキュア XML パーサー」の話題を引き出すには良い質問だと思います。同じフォーラムの別のトピックへの言及されたリンクには、XML パーサーの動作を悪用することによって可能になる典型的な攻撃が正しくリストされています。
同時に、フォーラムへの投稿では、攻撃の種類をリストするだけでなく、問題を回避するための可能な解決策を提案するリンクも指摘されています。
投稿によると、解決策はパーサー自体にあります。たとえば、xml 爆弾を使用して攻撃する典型的な方法は、インライン DTDを悪用することです。インライン DTD は、ほぼすべてのパーサーがサポートする機能であり、DTD パーサーを含む XML ドキュメントが存在するためです。特定のクラスのアプリケーション (バッチ処理などの一部のスタンドアロン アプリケーション) には、この機能が必要です。
同時に、パーサーは DTD 検証を無効にする機能も提供するため、アプリケーション開発者はユースケースに応じて使用方法を柔軟に選択できます。
したがって、安全なパーサーと呼ばれるものはありません。あなたの使用/プログラムが作る方法は、安全か安全でないかです。続行する方法は、解析をプログラミングする脆弱性に留意することです。
これは、一般的なフレームワークの典型的なアプローチです。たとえば、Web アプリケーション用のフレームワークがあります。Web アプリケーションを構築することはできますが、プログラムを作成しない限り、アプリケーションは安全ではありません。フレームワークは、安全にするためのすべてのツールを提供します。