問題タブ [xxe]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - XML 外部エンティティ (XXE) - 外部パラメータ エンティティおよび外部一般エンティティの脆弱性
XXE 攻撃を防ぐために、Java DocumentBuilderFactory で推奨されている以下の機能を無効にしました - https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet。
external-general-entites と external-parameter-entities を false に設定しない場合、脆弱性は存在しますか? disallow-doctype-decl を true に設定し、XIncludeAware を false に設定すると、これらの外部エンティティを展開できなくなります。
上記のコードからこれらの 2 行を削除しても安全です
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);か。それとも、保持することも必須です。必須の場合、false に設定しない場合の脆弱性は何ですか?
disallow-doctype を true に、XIncludeAware を false に、ExpandEntityReferences を false に設定した場合でも、external-genereal/Parameter-entities に固有の脆弱性の例を提供してください。
.net - WCF は XXE 攻撃に対して脆弱ですか
WCF サービスは XXE 攻撃に対して脆弱ですか? はいの場合、それを防ぐ方法はありますか?最近、私の会社でアプリケーションのセキュリティ監査を行ったところ、追加のコンテンツを (外部エンティティの形式で) API に送信でき、200 応答を受け取ったことが強調されました。時間の制約があるため、どのように悪用できるかは示されませんでしたが、懸念事項として提起されました。私はそれを確認して対処する任務を負っていますが、WCF で XXE について議論しているリソースを見つけることができません。これは、WCF が XXE 攻撃を防ぐように設計されているかどうか疑問に思っています。
どんなヘルプ/リードも大歓迎です