WildFly 8.1 の XXE 脆弱性をテストしていたところ、非常に厄介なことがわかりました。JAXB はデフォルトで安全な解析を使用し、entityExpansionLimit
プロパティを尊重します (デフォルトは 64k)。RestEasy の Spring MVC で動作するため、無視されています (大きな拡張でサーバーがクラッシュしても問題ありません)。
XXE全体でWildFly/RestEasyを保護できるかどうか知っている人はいますか? XML 外部エンティティ保護のサポートしか見つかりませんでした ( resteasy.document.expand.entity.references=false
)