Недавно мы провели аудит безопасности нашего кода, и одна из проблем заключается в том, что наше приложение подвержено атаке Xml eXternal Entity (XXE). По сути, приложение представляет собой калькулятор, который получает входные данные в виде XML...

На основе документации, найденной здесь: https://msdn.microsoft.com/en-us/library/we9s91f8(v=vs.71).aspx Похоже, что Microsoft Visual FoxPro может выполнять синтаксический анализ DTD из внешних источников. «Когда вы импортируете XML с...

После PenTest группа безопасности обнаружила возможность атаки XXE при отправке формы Orbeon через HTTPS-запрос из нашего веб-приложения. Им удалось перехватить следующий XML: <!DOCTYPE event-request [<!ENTITY nbsp "&#160;">]>...

Я загружаю xsd в свое веб-приложение на основе j2ee, которое генерирует классы Java и позже используется для обработки. Загрузка xsd была определена как уязвимая для внедрения внешней сущности XML. Я искал много мест и понял, как это можно исправить...

Эти строки кода вызывают появление уязвимости xxe в отчете Checkmarx: InputStream is = connection.getInputStream(); XMLInputFactory factory = XMLInputFactory.newInstance(); XMLStreamReader reader = factory.createXMLStreamReader(is); В...