Capítulo 24. La defensa contra XXE
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
En general, hablando, XXE es realmente fácil de defender: basta con desactivar las entidades externas en tu analizador XML (véase la Figura 24-1). La forma de hacerlo depende del analizador XML en cuestión, pero suele bastar con una sola línea de configuración:
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
OWASP señala que XXE es especialmente peligroso contra los analizadores XML basados en Java, ya que muchos tienen XXE activado por defecto. Dependiendo del lenguaje y del analizador en el que confíes, es posible que XXE esté desactivado por defecto.
Figura 24-1. Los ataques XXE pueden bloquearse fácilmente configurando adecuadamente tu analizador XML
Siempre debes consultar la documentación de la API de tu analizador XML para asegurarte, y no esperar simplemente que esté desactivado por defecto.
Evaluación de otros formatos de datos
Dependiendo de los casos de uso de tu aplicación, puede ser posible rediseñar la arquitectura de la aplicación para que dependa de un formato de datos diferente en lugar de XML. Este tipo de cambio podría simplificar la base de código, eliminando al mismo tiempo cualquier riesgo de XXE. Normalmente, XML puede intercambiarse con JSON, convirtiendo a JSON en el ...
Get Seguridad de las aplicaciones web now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
