因此,当我在应用程序上运行安全扫描时,我正在遇到问题。事实证明,我无法预防XXE。这是一个简短的片段,显示有问题的代码:
static void Main()
{
string inp = Console.ReadLine();
string xmlStr = ""; //This has a value that is much too long to put into a single post
if (!string.IsNullOrEmpty(inp))
{
xmlStr = inp;
}
XmlDocument xmlDocObj = new XmlDocument {XmlResolver = null};
xmlDocObj.LoadXml(xmlStr);
XmlNodeList measureXmlNodeListObj = xmlDocObj.SelectNodes("REQ/MS/M");
foreach (XmlNode measureXmlNodeObj in measureXmlNodeListObj)
{
XmlNode detailXmlNodeListObj = xmlDocObj.SelectSingleNode("REQ/DTD");
string measureKey = measureXmlNodeObj.Attributes["KY"].Value;
if (detailXmlNodeListObj.Attributes["MKY"].Value ==
measureKey) //Checking if selected MeasureKey is same
{
XmlNode filerNode = measureXmlNodeObj.SelectSingleNode("FS");
if (filerNode != null)
{
XDocument fixedFilterXmlObj = XDocument.Load(new StringReader(filerNode.OuterXml));
var measureFixedFilters = (from m in fixedFilterXmlObj.Element("FS").Elements("F")
select m).ToList();
foreach (var fixedFilter in measureFixedFilters)
{
var fixedFilterValues = (from m in fixedFilter.Elements("VS").Elements("V")
select m.Attribute("DESC").Value).ToList();
foreach (var value in fixedFilterValues)
{
Console.WriteLine(value.Trim());
}
}
}
}
}
Console.ReadLine();
}
根据VeraCode,不安全的行是XDocument fixedFilterXmlObj = XDocument.Load(new StringReader(filerNode.OuterXml));
但根据Owsap的说法,它应该是安全的:
system.xml.linq库中的XElement和Xdocument对象 默认情况下可以免受XXE注入。XElement仅解析 XML文件中的元素,因此DTD被完全忽略。 Xdocument默认情况下已禁用DTD,并且只有在 用不同的不安全XML解析器构建。
因此,似乎我犯了使用USAFE XML解析器,将XDocument
向XXE打开的错误。
我找到了复制问题的单元测试,并且还具有XDocument
的安全使用,但我似乎找不到我的代码到底是不安全的,因为我不使用:
XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Parse; // unsafe!
您可以运行我的代码来复制问题,但是您应该用空的XMLSTR替换该线,以此值:此处(对于单个帖子而言太大)
我不确定这是如何或为什么起作用的,但它确实可以:
XDocument fixedFilterXmlObj;
using (XmlNodeReader nodeReader = new XmlNodeReader(filerNode))
{
nodeReader.MoveToContent();
fixedFilterXmlObj = XDocument.Load(nodeReader);
}