Предотвратить нападение XXE с JAXB
Недавно мы провели аудит безопасности нашего кода, и одна из проблем заключается в том, что наше приложениеXml внешняя сущность (XXE) атака.
По сути, приложение представляет собой калькулятор, который получает входные данные в виде XML через веб-сервис.
Вот пример такой атаки XXE на наше приложение:
Как видите, мы можем ссылаться на объект, который указывает на внешний файл ("file:///d:/"
).
Что касается самого ввода XML (...
часть) unmarshalled с JAXB (v2.1). Часть веб-сервиса основана на jaxws-rt (2.1).
Что мне нужно сделать, чтобы обезопасить свой веб-сервис?