Неверное ограничение ссылки на внешний объект XML (CWE ID 611) (6 ошибок)

Продукт обрабатывает XML-документ, который может содержать XML-сущности с URL-адресами, которые разрешаются в документы за пределами предполагаемой сферы контроля, что приводит к тому, что продукт встраивает неверные документы в свои выходные данные.
По умолчанию распознаватель XML-сущностей пытается разрешить и получить внешние ссылки. Если XML-файл, контролируемый злоумышленником, может быть отправлен одной из этих функций, злоумышленник может получить доступ к информации о внутренней сети, локальной файловой системе или другим конфиденциальным данным. Это известно как атака внешней сущности XML (XXE).

ничего

package com.integratingstuff.jaxb;

import java.io.ByteArrayInputStream;

import java.io.InputStream;
import javax.xml.bind.JAXBContext;

import javax.xml.bind.JAXBException;
import javax.xml.bind.Unmarshaller;

import com.integratingstuff.pojo.Item;

public class DoUnmarshall {
    public static void main(String[] args) {
        try 
{
            JAXBContext jaxbContext= JAXBContext.newInstance(Item.class);

            Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();
            String xml = "<?xml version="1.0" encoding="UTF-8"?><item
 price="" description="Test description" catalog-number="10"/>";

            InputStream inputStream = new 
ByteArrayInputStream(xml.getBytes());
            Item item = (Item) unmarshaller.unmarshal(inputStream);

        } catch (JAXBException e) {
            e.printStackTrace();
        }
    }
}

java xml jaxb veracode
person phk hpk    schedule 19.09.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Это хорошая ссылка для получения решения: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#java

Например, в вашем случае вы просто добавите эти 2 свойства в XMLInputFactory и потоковое чтение:

        final Unmarshaller unmarshaller = jaxbContext.createUnmarshaller();
        XMLInputFactory xmlInputFactory = XMLInputFactory.newFactory();
        // These 2 properties are the key
        xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
        xmlInputFactory.setProperty(XMLInputFactory.IS_SUPPORTING_EXTERNAL_ENTITIES, false);
        // Your stream reader for the xml string
        final XMLStreamReader xmlStreamReader = xmlInputFactory
                .createXMLStreamReader(new StringReader(yourXMLStringGoesHere));
        final NsIgnoringXmlReader nsIgnoringXmlReader = new NsIgnoringXmlReader(xmlStreamReader);
        // Done with unmarshalling the XML safely
        final Item item = (Item) unmarshaller.unmarshal(nsIgnoringXmlReader);

Это также должно пройти сканирование Veracode без каких-либо проблем с XXE.

надеюсь, это поможет

person Urosh T.    schedule 25.09.2019