2

のサポートが組み込まれていJAX-RPCますか?Axis2XML injection

そうでない場合は、カスタムコードを追加して、エスケープとスキーマの検証を自分で実行するにはどうすればよいですか?

編集:によって生成されたコードを調べましたJAX-RPC。コードがスキーマ検証を実行しているようです。これは、からの保護に向けた1つのステップXML injectionです。残っている問題は、キャラクターのエスケープについてはどうでしょうか。

についてAxis2-モデルを表す実際のBeanに基づいて行われていると思いますannotations-したがって、制限がなければannotations-可能であるように思われXML injectionます-しかし、それについても専門家の回答を希望します。

4

1 に答える 1

1

これらのテクノロジーのいずれかがXMLインジェクションに対して脆弱であるとしたら、私は驚きます(ちなみに、XPathインジェクションを意味しますか?)。これらは、長い間使用されてきたJAXPなどの標準のJava APIに基づいて構築されており、危険な文字などを自動的<にエスケープします。&

これは、独自のアプリケーションでこれらのテクノロジーを使用するときに、インジェクションの脆弱性を導入しないように注意する必要がないという意味ではありません。たとえば、Javaでパラメータ化されたXPathクエリを安全にパラメータ化することは依然として難しいようです。

于 2011-06-28T10:09:18.370 に答える