小贝子编程

如何防范针对wso2 IS或apim的XXE或XSS攻击



wso2 identity studio 5.10存在安全问题

https://www.exploit-db.com/exploits/40239

(xxe和xss),在5.1中通过实现XML解析器解决了这个问题在XML消息的DTD上检测恶意脚本或实体)

例证:

<!DOCTYPE root
<!ENTITY foo SYSTEM "file:///c:/windows/win.ini">
]>
...
<in>&foo;</in>[

https://wso2.com/technical-reports/wso2-secure-engineering-guidelines

2.4 A4 - XML外部实体(XXE)

提到这可以通过添加DocumentBuilderFactory (DOM Parser)来防止。andXMLInputFactory (Stax Parser)如果在哪里,我应该实现那些

如果没有,我该怎么办?

WSO2在哪里做XML解析?

正如您所提到的,您所指出的具体问题已经解决了。

产品中的XML解析器应该足够强大以减轻XXE问题。如果您遇到任何安全问题,请按照这里提到的方式报告问题。

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium