我正在尝试重现XXE场景,该场景发布在以下链接中 https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.md正如我从文档中读到的,当XMLResolver未显式设置时,以下代码块不应加载DTD,因为它与4.5.2+目标框架版本一起运行。如果我将XMLResolver设置</e
浏览 30提问于2019-03-27得票数 2
XmlDataDocument serializedContent = new XmlDataDocument();serializedContent.Load(objStream);防止XXE攻击的最佳方法是禁用内联DD将DtdProcessing设置为DtdProcessing.Prohibit或禁用XmlReaderSettings.XmlResolver实体解析将XmlReaderSettings.XmlResolver属性设置
浏览 5提问于2021-08-09得票数 0
回答已采纳
.NET方法XmlSerializer.Deserialize(TextReader)是否安全,不受D0漏洞(XXE、XmlBomb等)的影响?在反序列化过程中会处理DTD吗?如果将XmlSerializer.Deserialize(XmlTextReader)设置为DtdProcessing.Parse,我可以理解为什么XmlTextReader.DtdProcessing
浏览 0提问于2018-06-27得票数 8
回答已采纳
如果攻击者控制的XML可以提交到这些函数之一,那么攻击者可以访问有关内部网络、本地文件系统或其他敏感数据的信息。这被称为XML eXternal实体(XXE)攻击。Recommendations我需要做些什么来解决这个问题。
浏览 9提问于2015-08-25得票数 21
回答已采纳
我们正在使用veracode对我们的代码进行安全性分析,它显示了以下代码的XXE缺陷,特别是在调用了Deserialize()的地方。我们如何防止序列化程序访问外部实体。我在下面为XMLReader将XMLresolver设置为null的尝试不起作用。parsing but do so more safely settings.XmlRe
浏览 0提问于2016-01-25得票数 8
我们希望使用相同的过滤器来防止XXE攻击,并想知道这是否可能。我们使用'org.springframework.ws.soap.axiom.AxiomSoapMessageFactory‘作为messageFactory,它有两个设置器'setSupportingExternalEntities’和'setReplacingEntityReferences‘,缺省情况下这两个设置器为false。;或者& xxe;S
浏览 3提问于2018-05-18得票数 0
1回答
我不认为非DoS攻击(例如通过系统实体访问本地文件)是不必要的。所以defusedxml只对DoS攻击是必要的,对吧?如果它只用于命令行实用程序,对于类似于10亿次笑的攻击,它将能够在ulimit下运行我的程序。我需要使用defusedxml来保护自己不受十亿次的嘲笑和类似的攻击,这是真的吗?那么(在我使用defusedxml之后)就足以限制下载的XML文件的大小了吗?或者我需要一些(哪些?)更先进的对策?
浏览 0提问于2018-06-17得票数 2
回答已采纳
我知道这个问题可以通过在WebLogic控制台中设置XML Registry,并在尝试解析时指定要返回的本地文件(例如"“)来解决。
有没有其他方法可以防止服务器访问网络来解析外部实体引用?
浏览 0提问于2009-07-30得票数 4
回答已采纳
3回答
代码分析器工具正在通知XML Entity Expansion Injection,因为没有实现DTD规范。DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();所以我想知道
浏览 1提问于2015-08-13得票数 2
回答已采纳
为了防止XXE攻击,我已经禁用了下面的特性,这是对Java DocumentBuilderFactory - 的推荐。false,是否存在漏洞?因为当我们将doctype decl设置为true,XIncludeAware设置为false时,它将不允许扩展这些外部实体。如果是强制性的,那么如果我们不将它们设置为false,那么漏洞是什么呢?请提供特定于外部泛型/参数实体的漏洞示例,即使我们将doctype<
浏览 0提问于2019-01-21得票数 3
回答已采纳
我理解使用HSTS运行网站可以帮助防止攻击者使用K架降低网站的等级以服务HTTP请求。IIS为网站设置了一个只能要求SSL请求的设置。这是否足以防止攻击者使用SSLstrip将HTTPS降级为HTTP?我假设the服务器将无法提供非HTTPS流量,对吗?
浏览 0提问于2017-10-17得票数 2
3回答
我正在对我的网站进行防xss攻击,防止javascript和xss攻击。它是用ASP.NET Webforms编写的。我必须将validateRequest设置为false,因为我想在HMTL (tinyMCE)中获取用户的故事。谢谢。
浏览 9提问于2011-07-10得票数 6
回答已采纳
1回答
用JAXB防止XXE攻击
、、、、
最近,我们对代码进行了安全审计,问题之一是我们的应用程序受到Xml eXternal Entity (XXE)攻击。<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/
浏览 5提问于2012-10-19得票数 46
回答已采纳
将]()设置为true (默认)以完全防止Http头注入攻击(如响应拆分等)是否足够?我之所以问这个问题,是因为一个白盒渗透测试工具(fortify)报告了HttpResponse.Redirect和cookies中可利用的http头注入问题,但我还没有找到成功执行攻击的方法。
浏览 3提问于2009-05-15得票数 10
回答已采纳
现在必须将属性JsonRequestBehavior设置为值AllowGet。result.JsonRequestBehavior = JsonRequestBehavior.AllowGet;
我认为这样可以防止劫持。我想知道是否有与Json.Net类似的方法来防止这种类型的攻击。
浏览 5提问于2012-03-16得票数 3
回答已采纳
1回答
我得到一个例外
using (StreamReader reader = new StreamReader(filePath, Encoding.UTF8)) XmlSerializer serializer = new XmlSerializer(typeof(entry[]), new XmlRootAttribute("JMdict"));
return (entry[])seri
浏览 7提问于2017-12-19得票数 1
回答已采纳
1回答
我现在正在上工作,以防止网站受到CSRF攻击。现在,我怀疑是否应该将令牌作为头字段或AJAX请求上的post值传递,因为它们似乎都能工作。将其设置为我的头字段的缺点是,我必须将每个Jquery $.post更改为一个简单的$.ajax,以便设置标题。username, sender: sender, '__anti-forgery-token': X_CSRF_Token}) /&#
浏览 3提问于2015-10-21得票数 2
回答已采纳
3回答
我们对我们的代码进行了安全审计,他们提到我们的代码容易受到EXternal Entity (XXE)攻击。如果攻击者控制的XML可以提交给这些函数之一,那么攻击者就可以访问有关内部网络、本地文件系统或其他敏感数据的信息。为了避免这种情况,我编写了以下代码,但它不起作用。
浏览 1提问于2013-01-09得票数 37
回答已采纳
当我查看设置会话in的代码时,我会看到下面的代码。我很困惑,因为我理解在cookie上设置安全标志的目的是表明cookie只应该在安全连接上发送。在下面的代码中,我们只设置了连接的这个标志已经是安全的。这如何达到防止通过不安全连接发送会话id的目的? httpRes.Cookies.AddPermanentC
浏览 3提问于2015-06-24得票数 1
回答已采纳
1回答
假设我想在PHP中设置一个沙箱或操场,用户可以使用它创建(或粘贴) XML和XSLT,然后通过XSLT (通过PHP5‘S DOMDocument和相关对象)转换XML。在某些方面,这就像一个eval(),但是我觉得这个场景中的风险很小,或者比我用textarea设置一个表单时低得多,而eval()编辑了这段代码。
我的预感是正确的,还是这里有隐藏的安全问题?如果是这样的话,他们是什么,我应该调查什么样的预防措施,以确保我的理论应用。
浏览 0提问于2011-06-07得票数 11
回答已采纳
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
