xsd上传中的XML外部实体注入
我正在我的基于j2ee的web应用程序中上载一个xsd,该应用程序正在生成java类,稍后将用于处理。上传xsd已被确定为可用于XML外部实体注入的漏洞。我搜索了很多地方,了解了如何修复xml。但是XSD没有明确的定义 如果有人对此有任何想法,请告诉我xsd上传中的XML外部实体注入,xml,security,owasp,xxe,Xml,Security,Owasp,Xxe,我正在我的基于j2ee的web应用程序中上载一个xsd,该应用程序正在生成java类,稍后将用于处理。上传xsd已被确定为可用于XML外部实体注入的漏洞。我搜索了很多地方,了解了如何修复xml。但是XSD没有明确的定义 如果有人对此有任何想法,请告诉我 提前感谢这里对XSD没有什么特别的。就攻击向量而言,XSD文档与任何其他XML文档一样。是的,米迦勒。后来我问了这个问题才意识到。 SchemaCompiler schemaCompiler = XJC.createSchemaCompiler(
提前感谢这里对XSD没有什么特别的。就攻击向量而言,XSD文档与任何其他XML文档一样。是的,米迦勒。后来我问了这个问题才意识到。
SchemaCompiler schemaCompiler = XJC.createSchemaCompiler();
schemaCompiler.setDefaultPackageName(packageName);
XMLInputFactory xmlInputFactory = XMLInputFactory.newInstance();
xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
xmlInputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);
XMLStreamReader xmlStreamReader = xmlInputFactory.createXMLStreamReader(new FileInputStream(xsdFile));
try {
schemaCompiler.parseSchema(xsdFile.toURI().toString(),xmlStreamReader);
} catch (XMLStreamException e) {
// handle exception
}