0
我目前正在嘗試在Java中爲使用xml/json有效載荷的Web應用程序實施威脅防護機制。如何檢測惡意的XML/JSON有效載荷?
我想知道,有沒有什麼辦法/庫檢測,XML/JSON元素
- 長度
- 深度XML/JSON文件的屬性
- 屬性的
- 長度每個元素的計數
除此之外,我必須在不解析文檔的情況下執行這些操作,因爲如果我們解析文檔t,惡意的xml/json文檔可能會攻擊解析器。提前致謝。
我目前正在嘗試在Java中爲使用xml/json有效載荷的Web應用程序實施威脅防護機制。如何檢測惡意的XML/JSON有效載荷?
我想知道,有沒有什麼辦法/庫檢測,XML/JSON元素
除此之外,我必須在不解析文檔的情況下執行這些操作,因爲如果我們解析文檔t,惡意的xml/json文檔可能會攻擊解析器。提前致謝。
使用XML庫的Java應用程序特別容易受到XXE的影響,因爲大多數Java XML解析器的默認設置是啓用了XXE。要安全地使用這些解析器,必須在使用的解析器中顯式禁用XXE。以下鏈接可能會對您有所幫助。
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java
如果沒有解析,您將無法獲得任何這些指標。所以你實際上在尋找的是一個解析器,它強加了用戶指定的限制。我不認爲這樣的解析器存在,但是當然也有可以修改的開源解析器。 –
@MichaelKay非常感謝您的見解Michael。我會研究一些圖書館。 –