JAX-RPC 和 Axis2 是否受到 XML 注入的保护?

【问题标题】:Are JAX-RPC and Axis2 protected against XML Injection?JAX-RPC 和 Axis2 是否受到 XML 注入的保护?
【发布时间】:2011-06-27 13:23:08
【问题描述】:

JAX-RPCAxis2 是否具有对 XML injection 的内置支持?

如果没有,我如何添加自定义代码来自行执行转义和架构验证?

编辑:我查看了JAX-RPC 生成的代码,看起来代码执行了架构验证 - 所以这是保护XML injection 的一步。 剩下的问题是 - 字符转义怎么办?

关于 Axis2 - 我认为它是基于代表模型的实际 bean 上的 annotations 完成的 - 所以如果没有限制 annotations - 似乎 XML injection 是可能的 - 但我更喜欢专家的回答也是如此。

【问题讨论】:

    标签: java web-services axis2 code-injection jax-rpc


    【解决方案1】:

    如果这两种技术中的任何一种都容易受到 XML 注入的攻击,我会感到惊讶(顺便说一下,您是指 XPath 注入吗?)。它们建立在标准的 Java API 之上,例如已经存在很长时间的 JAXP,并自动转义任何危险字符 <& 等。

    这并不意味着您在自己的应用程序中使用这些技术时不必小心不要引入注入漏洞。例如,在 Java 中安全地参数化 XPath 查询似乎仍然很困难。

    【讨论】:

    • 感谢您的回答,在serialization 期间,我确信他们执行了转义。但是在de-serializaton 期间,没有什么可做的了。如果我有一台服务器,而我的客户端没有使用这些工具中的任何一个——它将为任何人在 XML 到达我之前对其进行操作留出空间。它会让我仍然脆弱。
    • 我不确定我们是否使用相同的 XML 注入定义。也许您可以准确地更新您的问题?
    猜你喜欢
    • 2011-10-13
    • 2021-03-19
    • 1970-01-01
    • 1970-01-01
    • 2012-10-24
    • 2016-01-17
    • 1970-01-01
    • 2012-04-14
    • 2011-11-07
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode