代码之家  ›  专栏  ›  技术社区  ›  siddharthdg

Veracode XML外部实体引用(XXE)解组组织。w3c。dom。要素

xxe jaxb xml-parsing xml java
  •  2
  • siddharthdg  · 技术社区  · 7 年前

    我从代码扫描审计(Veracode)中获得了一个XML外部实体引用(XXE)漏洞,同时对 Element . 

        public static <T> T unMarshal(org.w3c.dom.Element content, Class<T> clazz) throws JAXBException {
    JAXBContext jaxbContext = JAXBContext.newInstance(clazz);
    Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();
    return (T) unmarshaller.unmarshal(content, clazz).getValue();
}

    如何修复上述代码中对XML外部实体引用(“XXE”)的不当限制?

    1 回复  |  直到 7 年前
        1
  •  3
  •   Greg    5 年前

    根据您的示例,您可以尝试以下代码: 

    public static <T> T unMarshal(org.w3c.dom.Element content, Class<T> clazz) throws JAXBException, XMLStreamException {
  JAXBContext jaxbContext = JAXBContext.newInstance(clazz);
  Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();

  XMLInputFactory xmlif = XMLInputFactory.newFactory();
  xmlif.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
  xmlif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
  XMLStreamReader xsr = xmlif.createXMLStreamReader(content);

  return (T) unmarshaller.unmarshal(xsr, clazz).getValue();
}

    我认为上述解决方案可以解决与(CWE 611)XML外部实体引用相关的问题

    推荐文章
    JobProcessTask  ·  如何读取此xpath表达式?
    2 年前
    Sven K  ·  无法访问XML数据结构中的“数据”:“名称属性>数据”
    2 年前
    sklal  ·  在Python中从S3存储桶读取xml文件——只存储最后一个文件的内容
    2 年前
    MBF  ·  PHP导入/解析XML文件内容保存到数据库
    2 年前
    TenkMan  ·  SQL Server XML嵌套值查询表单990
    2 年前
    lam62  ·  如何使用XML从XHTML/XML中提取相关数据。dom。小型化
    2 年前
    Mohan.Murali.Peddini  ·  XSLT模板循环记录
    2 年前
    mayo0o  ·  检查元素的总和
    2 年前
    crichavin  ·  排除XSLT的(1.0)行返回和文本输出中的额外空白
    2 年前
    Crimp  ·  从Excel导出后,在XML文件和PowerShell输出中发现奇怪字符:
    2 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号