jboss 4.2 にデプロイされた Web サービスに対する xxe 攻撃を何らかの方法で防ぐことは可能ですか? WS は注釈によって定義されます。外部エンティティと dtd のサポートを無効にする構成が見つかりません。
この投稿 ( JAXB による XXE 攻撃の防止) は、サーブレットで SOAP を解析するためのソリューションですが、注釈付きの WS には何かが必要です。
質問する
577 次
1 に答える
1
jboss のコードを長時間デバッグした後、jboss 4.2.2 に対する XXE 攻撃の修正を見つけました。
DOMUtils.class (jbossws-common.jar にあります) で、DocumentBuilderFactory インスタンスに追加機能を追加しました。
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
それは問題を解決します。
于 2015-07-27T11:06:36.313 に答える