使用JAXB防止XXE攻击

6 浏览2023年3月26日

匿名的 2023年3月27日

0 Comments

最近，我们对我们的代码进行了安全审计，其中一个问题是我们的应用程序容易受到XML外部实体（XXE）攻击。

基本上，这个应用程序是一个计算器，通过Web服务以XML形式接收输入。

以下是我们应用程序上的一个XXE攻击示例：

正如您所看到的，我们可以引用一个指向外部文件的实体（"file:///d:/"）。

关于XML输入本身（... 部分），我们使用JAXB（v2.1）进行了解组。Web服务部分基于jaxws-rt（2.1）。

为了保护我的Web服务，我需要做什么？

在JSP/Servlet网页应用中防止XSS攻击

如何将转义字符声明为DTD实体在外部文件中，并在XML文件中导入。

Apache Wink可以忽略不可打印的XML字符吗？

如何在XML属性值中包含&, <, >等特殊字符？

避免在SQL XML属性中对&符号进行编码。

如何正确处理JAXB中的继承

在Java中生成XML时，对特殊字符进行转义处理

如何在XML中嵌入二进制数据？

如何防止在CXF Web Service客户端中生成JAXBElement？

XML解析错误

将字符串添加到XML之前进行清理处理？

使用JAXB与Google Android

如何在jax-ws webservice中反序列化xml文件

如何在JAXB 2.0中进行模式验证而无需进行编组？

在Java 8中解组XML时出错，"secure-processing org.xml.sax.SAXNotRecognizedException导致java.lang.IllegalStateException"。

JAXB不将>符号转换为>。

如何在多个客户端模式中包含一个常见的分离的XML模式？

在编组时禁用JAXB命名空间替换？

在Java中是否可以使用XML文件中存在的模式验证XML？