【发布时间】:2012-07-13 04:49:22
【问题描述】:
我正在使用一个客户端,它正在向服务器发送一个 xml soaprequest,其中包括一个 doctype decleration as
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY xxe SYSTEM "///etc/SuSE-brand">
]>
在我发送的其中一个实体中 &xxe;作为<comments>&xxe;</comments> 的输入。这是外部实体注入。在服务器端,请求第一次到达时已被解析,并且注释字段带有位置 /etc/SuSe-brand 的文本。
我想停止这个 doctype 解析,我必须检查是否有一些 doctype,然后应该停止解析。或者任何人都可以建议应该使用哪个版本的 JAX-WS 来检查 xml 实体注入?
【问题讨论】:
-
嗨 kommaradHomer,感谢您的回复。但我无法阻止外部实体注入。我无法通过 Saxparser 阻止外部实体注入,因为 xml 请求第一次到达服务器时它没有 doctype在它的标题中,它只是带来了 ///etc/SuSE-brand 的值,所以我认为两个不同的请求来自soapui。所以请告诉任何版本的 jax-ws 是否可以工作。我已经尝试了 2.1.7。但它没有。
标签: java jakarta-ee