問題タブ [xxe]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

80 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
2 に答える
24331 参照

java - TransformerFactory で XML 外部エンティティ インジェクションを防止する方法

私の問題:

Fortify 4.2.1 は、以下のコードを XML 外部エンティティ攻撃の影響を受けやすいものとしてマークしています。

私が試した解決策:

  1. TransformerFactory 機能XMLConstants.FEATURE_SECURE_PROCESSINGを true に設定します。

  2. DOM および SAX パーサーの場合と同様に、TransformerFactory にそのような機能をさらに提供する可能性を検討しました。たとえば、doctype 宣言の禁止などXMLConstants.FEATURE_SECURE_PROCESSING実装コード

私が行っていない可能性があると思われるリソースや、この問題の解決策を教えてください。

0 投票する
2 に答える
2751 参照

c# - XDocument.Parse: XXE 参照の置き換えを避ける

アプリによって処理される XML での悪意のある XXE インジェクションから保護しようとしています。したがって、XmlDocument の代わりに XDocument を使用しています。

XML は Web 要求のペイロードを表すため、その文字列コンテンツに対して XDocument.Parse を呼び出します。ただし、XML に含まれる XXE 参照 (&XXE) が、結果で ENTITY xxe の実際の値に置き換えられていることがわかります。

&xxe を置き換えずに XDocument で XML を解析することは可能ですか?

ありがとう

XmlResolver=null編集: forを使用して XML の xxes の置換を回避することができましたXDocument.Load

0 投票する
1 に答える
306 参照

ios - libxml2 目標 c を使用して XML の DTD と XXE を検証する

私のプロジェクトでは、XML に DTD が含まれているかどうかを検証したいと考えています。現在、Libxml パーサーを使用して XML を解析しています。

LibXML では、XML に DTD が含まれているかどうかを確認するにはどうすればよいですか。

リクエスト XML をサーバーに送信するときに、XXE 攻撃を防ぐにはどうすればよいですか。

user4601102
0 投票する
0 に答える
1410 参照

xml - XXE 攻撃を防ぐ方法 (.Net の XmlSerializer)

一部の古いレガシー アプリに対して Veracode のセキュリティ監査を行ったところ、外部エンティティ (XXE) 攻撃に対して脆弱であることがわかりました。私はほとんどの問題を修正しましたが、対処方法がわからないコードに出くわしました。ここの誰かが私に方向性を教えてくれることを願っています. 関連するコードは次のとおりです。

問題は次のコードにあります。

Veracode によると、上記のスニペットの問題は「XML 外部エンティティ参照 ('XXE') の不適切な制限」です。CWE リストによると、これは「ソフトウェアが、意図した制御範囲外のドキュメントに解決される URI を持つ XML エンティティを含む可能性のある XML ドキュメントを処理し、製品が誤ったドキュメントを出力に埋め込む」ことを意味します。

コードを修正するために何をしなければならないのかわかりません。

0 投票する
4 に答える
6237 参照

java - 古いバージョンの jackson-all-1.9.11 およびパッチが適用されていない jackson 2.x での CVE-2016-3720 の小さな修正

CVE-2016-3720 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3720の説明 があいまいですが、コードを読んでみると以下の問題が見つかりました。問題を修正した後でも、OWasp 依存関係チェック ツールは、jar ファイルが攻撃に対して脆弱であると報告します。修正が適用された後、誤検知があると思います。

CVE-2016-3720 は、Jackson ライブラリでの XML エンティティ インジェクション攻撃を公開します。 https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing XML エンティティ インジェクション攻撃は、XML ファイルの解析で無限ループを作成する可能性があります。
最終的にアプリケーション サーバーのすべてのメモリを使い果たすか、外部サイトへの参照を挿入できます (これは報告された問題です)。

残念ながら、古いバージョンの Jackson のソース コードは Github で入手できません。プロジェクトのソース バージョンは、jackson-databind-2.0.0-RC1 レベルに戻るだけです。

古いバージョンの Spring を使用している場合、Jackson 2.x の最新バージョンにアップグレードできない可能性があるため、セキュリティのジレンマが生じています。Spring をアップグレードせずに脆弱性を修正する方法。

0 投票する
1 に答える
1153 参照

java - XStream で XXE 攻撃を防ぐ

Xstream API を使用して Xml EXternal Entity (XXE) の脆弱性を修正する方法を知りたいです。

私たちができるように

DocumentBuilderFactory で。詳細 - https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Prevention_Cheat_Sheet

私のコードは次のようなものです-


12345678910