Warning: file_get_contents(/data/phpspider/zhask/data//catemap/0/xml/15.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
xsd上传中的XML外部实体注入_Xml_Security_Owasp_Xxe - Fatal编程技术网
Fatal编程技术网
  • xml/
  • xsd上传中的XML外部实体注入

xsd上传中的XML外部实体注入

xml security

xsd上传中的XML外部实体注入,xml,security,owasp,xxe,Xml,Security,Owasp,Xxe,我正在我的基于j2ee的web应用程序中上载一个xsd,该应用程序正在生成java类,稍后将用于处理。上传xsd已被确定为可用于XML外部实体注入的漏洞。我搜索了很多地方,了解了如何修复xml。但是XSD没有明确的定义 如果有人对此有任何想法,请告诉我 提前感谢这里对XSD没有什么特别的。就攻击向量而言,XSD文档与任何其他XML文档一样。是的,米迦勒。后来我问了这个问题才意识到。 SchemaCompiler schemaCompiler = XJC.createSchemaCompiler(

我正在我的基于j2ee的web应用程序中上载一个xsd,该应用程序正在生成java类,稍后将用于处理。上传xsd已被确定为可用于XML外部实体注入的漏洞。我搜索了很多地方,了解了如何修复xml。但是XSD没有明确的定义 如果有人对此有任何想法,请告诉我

提前感谢

这里对XSD没有什么特别的。就攻击向量而言,XSD文档与任何其他XML文档一样。

是的,米迦勒。后来我问了这个问题才意识到。 
SchemaCompiler schemaCompiler = XJC.createSchemaCompiler();
schemaCompiler.setDefaultPackageName(packageName);
XMLInputFactory xmlInputFactory = XMLInputFactory.newInstance();
xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false); 
xmlInputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false); 
XMLStreamReader xmlStreamReader = xmlInputFactory.createXMLStreamReader(new FileInputStream(xsdFile));
try {
    schemaCompiler.parseSchema(xsdFile.toURI().toString(),xmlStreamReader);
} catch (XMLStreamException e) {
    // handle exception
}