回答情况:
提问时间:
问题标签:
1回答
因此,我在客户端接触时发现了对SAML基础设施的盲目Xml外部实体(XXE)攻击,但它让我更早地尝试利用它。我可以构造一个简单的XXE:]>我从他们的服务器获得http连接,但是任何更复杂的东西,比如从我那里获取一个所以,在我的头撞墙三天后,我想我应该问问社区,当攻击受到限制时,他们是否对<em
浏览 0修改于2018-06-07得票数 1
回答已采纳
1回答
我试图理解XXE (XML外部实体注入)背后的概念。我通过了OWASP关于XXE的准则<?xml version="1.0" encoding="ISO-8859-1"?>
<!
浏览 0提问于2014-01-05得票数 3
回答已采纳
1回答
我偶然发现了一种开发方法,以前我还没有真正的时间去研究。XML实体据说容易受到服务器端注入类型的影响。我可以指定一个文档类型声明(DOCTYPE)来定义XML的结构。在DOCTYPE中,我可以定义实体并为它们分配特定的值。然后,我可以使用XML代码中的实体,解析器将用它们的值替换它们。<!DOCTYPE doc[]>
<query>
浏览 0提问于2015-03-02得票数 1
回答已采纳
2回答
;xmlInputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);
修复XXE
浏览 0提问于2022-04-05得票数 1
1回答
我正在尝试实现一个简单的演示-以更好地理解XXE和SSRF技术。我在下面写了这两个文件,试图设置这两个文件。目前,我拦截AJAX POST请求并通过附加以下方式修改数据(params):&xxe;尽管如此,我的XXE尝试似乎不起作用,我也不完全确定为什么?<e
浏览 0修改于2021-01-28得票数 1
4回答
我们对我们的代码进行了一次安全审计,它提到我们的代码容易受到XML EXternal实体(XXE)攻击的攻击。
XML外部实体攻击利用XML特性在处理时动态生成文档。此行为将应用程序暴露于XML外部实体(XXE)攻击,这些攻击可用于执行本地系统的拒绝服务、对本地计算机上的文件进行未经授权的访问、扫描远程计算机和执行远程系统的拒绝服务。下面的XML文档显示了XXE攻击的一个示例。如果XML解析器试图用/dev/随机文件的内容替换该实体,则此示例可能会使服务器崩溃(在UNIX系统上)。为了避免XXE
浏览 19修改于2018-07-30得票数 39
我正在尝试防止应用程序处理的XML中出现恶意的XXE注入。因此,我使用XDocument而不是XmlDocument。但是,我看到XML (& xxe )中包含的XXE引用在结果中被替换为实体xxe的实际值。
有没有可能在不替换&xxe的情况下用XDocument解析XML?
浏览 0修改于2016-02-05得票数 1
我是JAXB的新手,在我们的代码审计中,有关于用JAXB防止XXE攻击的建议。我找到了相关的答案:Prevent XXE Attack with JAXB 我现有的代码如下所示: if (properties.getProperty(MANIFEST) != null && !在建议的答案中,它说: XMLStreamReader xsr = xif.createXMLStreamReader(new StreamSource("src/xxe/input.xml")); 我不明白&#
浏览 53提问于2020-12-15得票数 1
回答已采纳
1回答
通过XXE OOB (Out of Band)提取文件的大多数示例都设置了侦听HTTP服务器,并侦听所请求的URL上的传入请求。是否可以通过XXE执行职位请求?
浏览 0提问于2019-08-12得票数 5
1回答
场景:<?xml version="1.0" encoding="utf-8"?DOCTYPE xxe [ <!ENTITY xxe SYSTEM "http://{burp_url}.burpcollaborator.net"> ]>
<xxx>&xxe;</x
浏览 0提问于2020-10-01得票数 1
1回答
我一直在讨论我的web应用程序中的xxe注入,我的web应用程序允许扩展用户提供的XML实体。使用Burp截获的通信量。为了证明概念,我如何说明我的web应用程序上的XXE攻击?如果是错误的,请指导我如何执行XEE检查。
浏览 0修改于2017-04-26得票数 4
我需要解决XXE问题,.I正在使用代码中的转换器工厂。ACCESS_EXTERNAL_DTD属性,我得到的是下面的代码,它可以为Java7工作,但是我正在使用Java6 .Can有人请建议一些其他的修复来保护Java TransformerFactory不受XXE
浏览 0提问于2016-02-18得票数 0
1回答
WCF服务是否易受XXE攻击?如果是,有什么方法可以防止它吗?我的任务是审查并对其采取行动,但我无法在WCF中找到任何讨论XXE的资源-这让我想知道WCF是否旨在防止XXE攻击。
如有任何帮助/线索,欢迎光临
浏览 2提问于2019-02-13得票数 5
DOMParser.setAttribute(DOMParser.java:538)请告诉我如何防止XML实体扩展注入和XXE我试着查看了OWASP XEE Cheat,浏览了XXE攻击的各种问题和答案,但找不到解决方案。
浏览 120修改于2018-05-17得票数 0
回答已采纳
根据下面的链接,iText 2.1.7版本中存在XXE漏洞 https://www.compass-security.com/fileadmin/Datein/Research/Advisories/CSNC但是看起来OpenPDF也使用了javax.xml.parsers.DocumentBuilderFactory类,这反过来又会带来XXE漏洞 有人可以在openPDF源代码中修复此漏洞并发布新版本吗?以下是Apache PDF box修复XXE漏洞的有用链接 htt
浏览 285修改于2020-01-18得票数 2
1回答
最近,我们对代码进行了安全审计,问题之一是我们的应用程序受到Xml eXternal Entity (XXE)攻击。<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/
浏览 5修改于2018-11-09得票数 46
回答已采纳
我在fortify报告的第4行得到了一个XML外部实体注入安全警告。不知道如何修复它。我对SOAP、JAXB和Marshaller非常陌生。
3 Unmarshaller unmarshaller = jaxbContext.c
浏览 9提问于2020-04-21得票数 0
我创建了一个易受(盲) XXE攻击的Java应用程序。 我能够利用该漏洞,并使用以下方法检索包含一行的文件: 1)截取XML请求,修改如下: <?xml version='1.0'?> <!我想知道是否有可能通过盲XXE检索包含多行的文件?我知道在PHP中你有时可以使用PHP过滤器对文件进行base64编码,但在Java中情况并非如此。 我已经读了几十篇帖子,但找不到实现我目标的方法。
浏览 40修改于2019-10-15得票数 0
这是为了在使用JAXB API时避免XXE攻击。我知道在使用JAXB时,可以覆盖默认的解析机制,可以使用替代的SAX解析器,并设置实体特性以避免XXE攻击。
浏览 4修改于2016-02-04得票数 1
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号