Публикации по теме 'xxe'
Как обнаружить атаки внешних сущностей XML с помощью JavaScript
Если ваше приложение анализирует XML-данные, оно может быть уязвимо для атак XXE (XML External Entity). Эти скрытые атаки могут позволить хакерам просматривать и извлекать конфиденциальные файлы на сервере приложений, и их даже можно использовать для выполнения SSRF (подделка запросов на стороне сервера). С помощью нашего XXE Detection API вы можете узнать, существуют ли какие-либо такие атаки, прежде чем ваш парсер сможет их обработать, гарантируя, что ваше приложение останется в..
Вопросы по теме 'xxe'
Небольшое исправление для CVE-2016-3720 в более старых версиях jackson-all-1.9.11 и в jackson 2.x, которое не исправлено.
Объяснение CVE-2016-3720 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3720 расплывчато, но, прочитав код, я обнаружил следующие проблемы. Даже после устранения проблем средство проверки зависимостей OWasp по-прежнему сообщает, что файл...
5129 просмотров
schedule
30.10.2022
Предотвращение атаки XXE с помощью XStream
Хотел узнать, как мы можем исправить уязвимость Xml EXternal Entity (XXE) с помощью Xstream API.
Как мы можем сделать
// This is the PRIMARY defense. If DTDs (doctypes) are disallowed, almost all XML entity attacks are prevented
// Xerces 2...
1050 просмотров
schedule
10.06.2023
Как защитить веб-службы .NET от эксплойтов XXE?
Я пытаюсь защитить веб-службу .NET от эксплойтов XXE . Поскольку основное сообщение SOAP представляет собой XML, оно потенциально подвержено риску.
Способ запретить обработку DTD для XML-документов можно найти здесь. и здесь . Однако...
1398 просмотров
schedule
18.07.2023
Как отключить разрешение внешних объектов в xerces C++ DOMLSParser
Мы используем Xerces C++ DOMLSParser. Я хочу отключить внешние объекты, но ничего не могу найти для DOMLSParser.
Как отключить загрузку внешних объектов для предотвращения атак XXE?
615 просмотров
schedule
18.07.2022
Подвержен ли XmlTextReader атакам XXE?
Мы читаем наши файлы шаблонов XML, используя System.Xml.XmlTextReader. Если в XML-файле, который мы читаем, есть XXE, будет ли обработан этот XXE?
Если это так, серьезная проблема безопасности. Его можно отключить?
спасибо - Дэйв
319 просмотров
schedule
17.11.2023
XML External Entity (XXE) — уязвимости внешних объектов параметров и внешних общих объектов
Чтобы предотвратить атаки XXE, я отключил перечисленные ниже функции в соответствии с рекомендациями для Java DocumentBuilderFactory — https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet ....
3231 просмотров
schedule
12.05.2022
DocumentBuilderFactory не может установить функцию FEATURE_SECURE_PROCESSING
Я пытаюсь создать экземпляр DocumentBuilderFactory с FEATURE_SECURE_PROCESSING , установленным на true . Я продолжаю получать ParserConfigurationException, когда пытаюсь установить функцию.
DocumentBuilderFactory factory =...
759 просмотров
schedule
04.11.2022
Базовый рабочий пример атаки XXE в HTML, часть 2
Следуйте этому: Основной рабочий пример атаки XXE в HTML
казалось легче сделать это продолжение, чем пытаться втиснуть мой прогресс в предыдущий вопрос. Я подумал, что лучше позволить правильному ответу на этот вопрос казаться правильным простым...
172 просмотров
schedule
06.05.2023
Атака XXE миллиард смеха, похоже, не была смягчена, как ожидалось, рекомендованным Sonar решением для предотвращения атак XXE.
Угрозы безопасности XXE на данный момент нет. Он занимает 4-е место в списке десяти основных угроз безопасности веб-приложений OWASP, поэтому я ожидаю, что стандартные XML-библиотеки Java предотвратят такие атаки. Однако, когда я использую класс...
420 просмотров
schedule
22.06.2023
Внедрение Web Api XXE (Xml eXternal Entity), несмотря на то, что XML не разрешен
В нашей компании было проведено тестирование для выявления потенциальных уязвимостей в системе безопасности. У нас есть решение .NET Web API, и в наших запросах поддерживается только json. Проведенный тест был следующим: на конечной точке API был...
41 просмотров
schedule
24.07.2022