Вопросы по теме 'xxe'
Предотвратить атаку XXE с помощью JAXB
Недавно мы провели аудит безопасности нашего кода, и одна из проблем заключается в том, что наше приложение подвержено атаке Xml eXternal Entity (XXE).
По сути, приложение представляет собой калькулятор, который получает входные данные в виде XML...
48385 просмотров
schedule
13.10.2021
Foxpro: Можно ли отключить разрешение внешних объектов?
На основе документации, найденной здесь: https://msdn.microsoft.com/en-us/library/we9s91f8(v=vs.71).aspx
Похоже, что Microsoft Visual FoxPro может выполнять синтаксический анализ DTD из внешних источников.
«Когда вы импортируете XML с...
119 просмотров
schedule
19.03.2022
Orbeon Forms: есть ли способ отключить обработку внешних сущностей, чтобы избежать XXE-атак?
После PenTest группа безопасности обнаружила возможность атаки XXE при отправке формы Orbeon через HTTPS-запрос из нашего веб-приложения.
Им удалось перехватить следующий XML:
<!DOCTYPE event-request [<!ENTITY nbsp " ">]>...
128 просмотров
schedule
02.07.2022
Внедрение внешней сущности XML в загрузку xsd
Я загружаю xsd в свое веб-приложение на основе j2ee, которое генерирует классы Java и позже используется для обработки. Загрузка xsd была определена как уязвимая для внедрения внешней сущности XML. Я искал много мест и понял, как это можно исправить...
294 просмотров
schedule
10.05.2023
Уязвимость XMLStreamReader/InputStream xxe отображается в отчете Checkmarx
Эти строки кода вызывают появление уязвимости xxe в отчете Checkmarx:
InputStream is = connection.getInputStream();
XMLInputFactory factory = XMLInputFactory.newInstance();
XMLStreamReader reader = factory.createXMLStreamReader(is);
В...
1016 просмотров
schedule
03.03.2023