信息安全 - 当 disallow-doctype-decl 设置为 true (Apache) 时可以利用 XXE 吗？ - 吾爱随笔录

当 disallow-doctype-decl 设置为 true (Apache) 时可以利用 XXE 吗？

信息安全网络服务器爪哇 xml xxe

2021-08-15 08:29:22

我发现网站的端点可能容易受到 XXE 的攻击。它Unmarshal用作 XML 解析器。当我尝试使用常见的 XXE 有效负载发送发布请求时，我从服务器收到以下响应：

[org.xml.sax.SAXParseException; lineNumber: 1; columnNumber: 54; DOCTYPE is disallowed when the feature \"http://apache.org/xml/features/disallow-doctype-decl\" set to true.]

是否有任何不需要 doctype 声明的有效负载？是否可以利用这个 XXE？

0个回答

没有发现任何回复~

其它你可能感兴趣的问题

上一篇如何在不安全地删除文件后安全地删除文件（在 linux 中）下一篇人们在确定签名的有效性方面有多准确？