Kapitel 24. Verteidigung gegen XXE
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Im Allgemeinen ist XXE in der Tat leicht zu bekämpfen - deaktiviere einfach externe Entitäten in deinem XML-Parser (siehe Abbildung 24-1). Wie das gemacht wird, hängt vom jeweiligen XML-Parser ab, aber in der Regel ist es nur eine einzige Konfigurationszeile:
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
XXE wird von OWASP als besonders gefährlich für Java-basierte XML-Parser eingestuft, da XXE bei vielen standardmäßig aktiviert ist. Je nach Sprache und Parser, auf den du dich verlässt, kann es sein, dass XXE standardmäßig deaktiviert ist.
Abbildung 24-1. XXE-Angriffe lassen sich leicht abwehren, indem du deinen XML-Parser richtig konfigurierst
Du solltest immer in der API-Dokumentation deines XML-Parsers nachsehen, um sicherzugehen, und nicht einfach davon ausgehen, dass er standardmäßig deaktiviert ist.
Andere Datenformate auswerten
Je nach den Anwendungsfällen deiner Anwendung kann es möglich sein, die Anwendung so umzugestalten, dass sie auf einem anderen Datenformat als XML basiert. Eine solche Änderung könnte die Codebasis vereinfachen und gleichzeitig das XXE-Risiko beseitigen. In der Regel kann XML mit JSON ausgetauscht werden, so dass JSON als Standardformat verwendet ...
Get Sicherheit von Webanwendungen now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
