【问题标题】:How to detect malicious XML/JSON payloads?如何检测恶意 XML/JSON 负载?
【发布时间】:2017-08-10 09:22:50
【问题描述】:

我目前正在尝试在 Java 中为使用 xml/json 有效负载的 Web 应用程序实现威胁保护机制。

我想知道,有什么方法/库可以检测,

  • xml/json 元素的长度
  • xml/json 文档的深度
  • 属性长度
  • 每个元素的属性计数

除此之外,我必须在不解析文档的情况下执行这些操作,因为如果我们解析文档,恶意 xml/json 文档可能会攻击解析器。提前致谢。

【问题讨论】:

  • 如果不进行解析,您将无法获得任何这些指标。因此,您实际上正在寻找的是一个施加用户指定限制的解析器。我不认为这样的解析器存在,但当然有你可以修改的开源解析器。
  • @MichaelKay 非常感谢您的见解迈克尔。我会研究一些图书馆。

标签: java json xml security


【解决方案1】:

使用 XML 库的 Java 应用程序特别容易受到 XXE 的影响,因为大多数 Java XML 解析器的默认设置是启用 XXE。要安全地使用这些解析器,您必须在您使用的解析器中显式禁用 XXE。下面的这个链接可能会对你有所帮助。

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java

【讨论】:

    猜你喜欢
    • 2014-08-22
    • 1970-01-01
    • 2021-07-08
    • 2017-05-14
    • 1970-01-01
    • 2020-10-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多