使用JAXB XMLStreamReader防止XXE攻击

文章/答案/技术大牛

发布

1回答

java、security、jaxb

我是JAXB的新手，在我们的代码审计中，有关于用JAXB防止XXE攻击的建议。我找到了相关的答案：Prevent XXE Attack with JAXB 我现有的代码如下所示： if (properties.getProperty(MANIFEST) != null && !false的XMLStreamReader，而不是使用ByteArrayInputStream。在建议的答案中，它说： XMLStrea

浏览 53提问于2020-12-15得票数 1

回答已采纳

1回答

使用默认解析器的JAXB* XXE攻击*

java、xml、security、jaxb、xxe

这是为了在使用JAXB API时避免XXE攻击。我知道在使用JAXB时，可以覆盖默认的解析机制，可以使用替代的SAX解析器，并设置实体特性以避免XXE攻击。

浏览 4提问于2014-08-09得票数 1

1回答

利用JAXB* + Services防止XXE (外部实体处理)攻击*

spring、web-services、security、jaxb、javax.xml

我知道，我们可以通过在JAXB中将抽象类IS_SUPPORTING_EXTERNAL_ENTITIES中的属性XMLInputFactory设置为false来防止XXE攻击。我也看过这个。这个特定的XMLInputFactory实例应该只用于所有使用javax.xml.bind.annotation包的类的JAXB转换。

浏览 1提问于2015-02-03得票数 3

回答已采纳

1回答

用JAXB防止XXE攻击

java、security、jaxb、ws-security、xxe

最近，我们对代码进行了安全审计，问题之一是我们的应用程序受到Xml eXternal Entity (XXE)攻击。<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/</calcinput>部分)是用JAXB (v2

浏览 5提问于2012-10-19得票数 46

回答已采纳

1回答

Checkmarx报告中显示的XMLStreamReader* / InputStream xxe漏洞*

java、inputstream、checkmarx、xmlstreamreader、xxe

这些代码行导致xxe漏洞出现在Checkmarx报告中： InputStream is = connection.getInputStream(); XMLStreamReader reader = factory.createXMLStreamReader(is); 该问题指出： “应用程序使用createXMLStreamReader向远程服务器发送对某些资源的请求。但是，攻击者可以通过在getInputS

浏览 37提问于2018-12-27得票数 1

回答已采纳

1回答

WCF是否易受XXE攻击

.net、wcf、wcf-security、xxe

WCF服务是否易受XXE攻击？如果是，有什么方法可以防止它吗？我的任务是审查并对其采取行动，但我无法在WCF中找到任何讨论XXE的资源-这让我想知道WCF是否旨在防止XXE攻击。如有任何帮助/线索，欢迎光临

浏览 2提问于2019-02-13得票数 5

1回答

如何在xerces C++ DOMLSParser中禁用外部实体解析

xml、xerces、xerces-c、xxe

我们使用的是Xerces C++ DOMLSParser。我想禁用外部实体，但找不到DOMLSParser的任何内容。如何禁用加载外部实体以防止XXE攻击？

浏览 8提问于2016-12-14得票数 2

1回答

如何配置org.apache.cxf.jaxrs.provider.JAXBElementProvider以防止XXE攻击

jax-rs、cxf

我对rest服务使用CXF (JAX )，对xml请求/响应编组/解组使用默认JAXBElementProvider。现在一切正常，我想防止..but请求中的XXE攻击，而这在默认情况下JAXBElementProvider是做不到的。如何配置以下声明中的xxe防护参数？

浏览 69提问于2019-05-06得票数 1

回答已采纳

1回答

PHP loadXML易受XXE攻击(以及其他攻击)吗？是否有易受攻击的函数列表？

php、attacks、xml、xxe

我有使用loadXML函数(以及其他XML函数)的PHP代码。此函数易受其他基于XML的攻击吗？比如，十亿人笑DoS攻击？我知道，通过更改设置，可以轻松阻止PHP中的XXE攻击。不过，我很乐意就我提出的问题找到答案。

浏览 0提问于2016-08-15得票数 12

回答已采纳

1回答

防范XML外部实体(XXE)处理漏洞的步骤有哪些？

xxe

最近，我看到了很多这种类型的攻击，所以我想问一下，防范XML外部实体(XXE)处理漏洞的正确方法是什么。例如，如果我在我的应用程序中解析一些简单的xml，我如何才能使它更强大，从而使这次攻击或数十亿的笑声无法工作。攻击：还能防止这些类型的攻击吗，http://josipfranjkovic.blogspot.com/2014/12/reading-local-files-from-facebooks.html

浏览 0提问于2015-04-10得票数 2

回答已采纳

1回答

使用castor将xml转换为java对象

java、xml、castor、unmarshalling

如何使用Castor忽略解组过程中的<envelope>和<body>标记？<?xml version="1.0" encoding="UTF-8"?

浏览 2提问于2010-12-14得票数 1

1回答

Javascript中的XXE漏洞

javascript、jquery、xml、security、xxe

一个人可以对Javascript发起XXE攻击，这是真的(或者至少是有道理的)吗？这就是，当尝试用JS解析XML时，它是否处理外部实体？但是这个解析是执行客户端的，对吗？它会对服务器造成什么危害？我们如何防止对Javascript、XML、DOM或Jquery之类的攻击？谢谢!干杯

浏览 1提问于2014-08-01得票数 1

回答已采纳

1回答

使用libxml2 objective c验证XML中的DTD和XXE

ios、objective-c、libxml2、dtd、xxe、xml

目前，我使用Libxml解析器来解析XML。在向服务器发送请求XML时，如何防止XXE攻击。

浏览 0提问于2016-01-24得票数 0

3回答

为Oracle DomParser解析XXE

java、xml、security、xml-parsing、xxe

这是我使用的DomParser的代码片段，我使用的DomParser是Oracle的。getNodeName());最近，我们的安全团队提出了一个问题，即上述DOM解析器容易受到安全攻击DOMParser.setAttribute(DOMParser.java:538)请告诉我如何防止XML实

浏览 120提问于2018-05-17得票数 0

回答已采纳

1回答

Soap请求作为字符串将其转换为java对象。

java、string、soap、jaxb、cxf

我得到一个SOAP请求作为字符串，我想从其中提取一个Java对象。有可能吗？如果是，那怎么做？什么API可以用于此？

浏览 1提问于2013-12-09得票数 3

回答已采纳

1回答

如何避免Python中的XML漏洞？

denial-of-service、python、xml

我不认为非DoS攻击(例如通过系统实体访问本地文件)是不必要的。所以defusedxml只对DoS攻击是必要的，对吧？如果它只用于命令行实用程序，对于类似于10亿次笑的攻击，它将能够在ulimit下运行我的程序。但是，尽管我现在关注的是命令行实用程序，但我希望在多用户HTTP(S)代理中使用我目前的工作，我也将编写这个代理。我需要使用defusedxml来保护自己不受十亿次的嘲笑和类似的攻击，这是真的吗？那么(在我使用defusedxml之后)就足以限制下载的XML文

浏览 0提问于2018-06-17得票数 2

回答已采纳

2回答

Java-8中Xml解编组错误的替代解决方案？：“安全处理org.xml.sax.SAXNotRecognizedException”

java、xml-parsing、jaxb、java-8、jaxb2

为了完整起见，下面是我在使用java-8运行代码时所面临的堆栈跟踪：为了证明冲突的jar确实是问题所在(如前面共享的链接中所描述的)，我将相关代码提取到不同的项目中，并成功地使用，现在是查询：在我的例子中，我的遗留项目使用了大约2-3个已知的冲突罐子，这

浏览 6提问于2016-02-29得票数 3

回答已采纳

1回答

防止对JBoss4.2的XXE攻击

java、web-services、jboss、jaxb、xxe

是否有可能以某种方式防止部署在JBoss4.2上的web服务受到xxe攻击？WS是由注释定义的。我找不到任何配置来禁用支持外部实体和dtd。

浏览 2提问于2015-07-21得票数 1

回答已采纳

1回答

弹簧引导集成XXE预防设置

java、spring-boot、spring-integration、xxe

我们在spring boot+spring集成中有一个应用程序，我们正在尝试引入XXE攻击预防。在java代码中，我们可以按照下面的链接进行更改我可以在上面的样本中做什么样的改变来防止感染。请帮帮我。

浏览 1提问于2018-12-10得票数 0

回答已采纳

2回答

这会使解析器受到XML外部实体的攻击

java、security、serialization、deserialization、transform

我们对我们的代码进行了安全审计，他们提到我们的代码容易受到EXternal Entity (XXE)攻击。<?xml version="1.0" encoding="

浏览 0提问于2016-11-21得票数 1

点击加载更多