HP fortify XML 外部实体注入

【问题标题】:HP fortify XML External Entity InjectionHP fortify XML 外部实体注入
【发布时间】:2017-06-26 18:47:52
【问题描述】:

Hp fortify 在下面的代码中向我展示了一个 XML 外部实体注入:

StringBuilder sb = new StringBuilder();
StringWriter stringWriter = new StringWriter(sb);
xmlSerializer.Serialize(stringWriter, o);
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.LoadXml(stringWriter.ToString());  //bad code
result = xmlDoc.ChildNodes[1].OuterXml;

在上面它显示了以下行中的漏洞xmlDoc.LoadXml(stringWriter.ToString());

我该如何解决这种情况?

【问题讨论】:

    标签: c# xml c#-4.0 fortify xxe


    【解决方案1】:

    XmlDocument 对象中有一个 XmlResolver 对象,在 4.5.2 之前的版本中需要将其设置为 null。 在 4.5.2 及更高版本中,此 XmlResolver 默认设置为 null。

    【讨论】:

      【解决方案2】:

      使用 xmlDoc.XmlResolver = null;在加载 xml 之前。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2016-11-09
        • 1970-01-01
        • 2015-08-12
        • 2017-01-22
        • 2015-11-17
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode