防止对 jboss 4.2 的 XXE 攻击

【问题标题】:Prevent XXE attack on jboss 4.2防止对 jboss 4.2 的 XXE 攻击
【发布时间】:2015-10-10 19:27:45
【问题描述】:

是否有可能以某种方式防止对部署在 jboss 4.2 上的 Web 服务的 xxe 攻击? WS 由注解定义。我找不到任何配置来禁用支持外部实体和 dtd。

在这篇文章中 (Prevent XXE Attack with JAXB) 是在 servlet 中解析 soap 的解决方案,但我需要一些用于带注释的 WS。

【问题讨论】:

    标签: java web-services jboss jaxb xxe


    【解决方案1】:

    经过长时间调试 jboss 的代码后,我找到了针对 jboss 4.2.2 的 XXE 攻击的修复方法

    在 DOMUtils.class(位于 jbossws-common.jar)中,我在 DocumentBuilderFactory 实例上添加了额外的功能:

    factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

    它解决了问题。

    【讨论】:

    • 您是如何添加这些额外功能的?是通过一些配置,还是你只是编辑了 .class 文件?
    • 我找到了库的来源,按照上面的描述进行了修改,只编译并替换了归档中的这一类
    猜你喜欢
    • 2017-03-31
    • 2012-10-10
    • 1970-01-01
    • 1970-01-01
    • 2012-12-23
    • 1970-01-01
    • 2018-01-19
    • 2016-02-05
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode