Rozdział 24. Obrona przed atakami XXE

Przed atakami XXE można się dość łatwo obronić — wystarczy wyłączyć zewnętrzne encje w parserze XML-a (rysunek 24.1). Sposób wykonania tego zadania zależy od konkretnego parsera, ale zwykle wymaga to jednego wiersza konfiguracji:

factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

Rysunek 24.1. Ataki XXE można z łatwością zablokować, konfigurując odpowiednio parser XML-a

Luki XXE są uznane przez OWASP za szczególnie niebezpieczne dla parserów XML-a opartych na Javie, ponieważ w wielu z nich obsługa zewnętrznych encji jest domyślnie włączona. W zależności od języka i parsera ...

Get Bezpieczeństwo nowoczesnych aplikacji internetowych now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Bezpieczeństwo nowoczesnych aplikacji internetowych by Andrew Hoffman

Rozdział 24. Obrona przed atakami XXE

Don’t leave empty-handed

It’s yours, free.

Check it out now on O’Reilly