Veracode CWE id 611

У меня есть фрагмент кода, в котором есть обнаружение веракода для атаки «Неправильное ограничение атаки по ссылкам на внешние объекты XML ('XXE'»).

Код:

Transformer transformer = TransformerFactory.newInstance().newTransformer();
        StreamResult result = new StreamResult(new StringWriter());
        DOMSource source = new DOMSource(node);
        transformer.transform(source, result); //CWE ID 611, impacted line.

я использовал

transformer.setOutputProperty(XMLConstants.ACCESS_EXTERNAL_DTD, "");
transformer.setOutputProperty(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

но не повезло.


veracode
person Ab_sin    schedule 06.03.2019    source источник

Ответы (3)


arrow_upward
1
arrow_downward

Проблема была решена с помощью следующего кода:

        TransformerFactory transformer = TransformerFactory.newInstance();//.newTransformer();
        transformer.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
        transformer.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
        StreamResult result = new StreamResult(new StringWriter());
        DOMSource source = new DOMSource(node);
        transformer.newTransformer().transform(source, result);
person Ab_sin    schedule 07.03.2019

arrow_upward
0
arrow_downward

Рекомендуется поставить блок try-catch.

try{
            transformer.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
            transformer.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

        } catch (IllegalArgumentException e) {
            //jaxp 1.5 feature not supported
        }
person Ab_sin    schedule 18.03.2019

arrow_upward
0
arrow_downward

Обратите внимание, что для всех, кто запускает приложение на JDK5 или более ранней версии, вам не будут доступны эти XML-константы:

transformer.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
transformer.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");

Вместо этого вам нужно будет выполнить синтаксический анализ документа с помощью защищенного конструктора документов, а затем использовать источник DOM в своем преобразователе.

private static void example(String xmlDocument, Result result) throws ParserConfigurationException, IOException, SAXException, TransformerException {
    DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
    DocumentBuilder db = dbf.newDocumentBuilder();
    db.setEntityResolver(new EntityResolver() {
        public InputSource resolveEntity(String s, String s1) throws SAXException, IOException {
            return new InputSource(new StringReader(""));
        }
    });
    Document doc = db.parse(new InputSource(new StringReader(xmlDocument)));

    DOMSource domSource = new DOMSource(doc);
    Transformer transformer = TransformerFactory.newInstance().newTransformer();
    transformer.transform(domSource, result);
}
person Verna Smith    schedule 17.06.2019