問題種類:XML External Entity Injection
問題發生原因:XML解析器不會阻止及限制外部實體解析,如此可導致解析器遭受XML外部實體攻擊。
弱點解決辦法:
增加下面紅字兩行屬性,應以安全方式設定 XML 解析器,讓其不允許將外部實體包含在傳入的 XML 文件中。
documentBuilderFactory = DocumentBuilderFactory.newInstance();
documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false); documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);documentBuilder = documentBuilderFactory.newDocumentBuilder();
document = documentBuilder.parse(filepath);
沒有留言:
張貼留言