使用JAXB防止XXE攻击
最近,我们对我们的代码进行了安全审计,其中一个问题是我们的应用程序容易受到XML外部实体(XXE)攻击。
基本上,这个应用程序是一个计算器,通过Web服务以XML形式接收输入。
以下是我们应用程序上的一个XXE攻击示例:
]>
...
]]>
正如您所看到的,我们可以引用一个指向外部文件的实体("file:///d:/"
)。
关于XML输入本身(...
部分),我们使用JAXB(v2.1)进行了解组。Web服务部分基于jaxws-rt(2.1)。
为了保护我的Web服务,我需要做什么?