XXE:使用XDocument对XML外部实体引用的不当限制

时间:2017-09-19 15:16:13

标签: c# xml linq-to-xml veracode xxe

因此,当我在应用程序上运行安全扫描时遇到问题。 It turns out that I am failing to protect against XXE。 以下是显示违规代码的简短代码段:

static void Main()
        {
            string inp = Console.ReadLine();
            string xmlStr = ""; //This has a value that is much too long to put into a single post

            if (!string.IsNullOrEmpty(inp))
            {
                xmlStr = inp;
            }
            XmlDocument xmlDocObj = new XmlDocument {XmlResolver = null};
            xmlDocObj.LoadXml(xmlStr);
            XmlNodeList measureXmlNodeListObj = xmlDocObj.SelectNodes("REQ/MS/M");

            foreach (XmlNode measureXmlNodeObj in measureXmlNodeListObj)
            {
                XmlNode detailXmlNodeListObj = xmlDocObj.SelectSingleNode("REQ/DTD");
                string measureKey = measureXmlNodeObj.Attributes["KY"].Value;
                if (detailXmlNodeListObj.Attributes["MKY"].Value ==
                    measureKey) //Checking if selected MeasureKey is same 
                {
                    XmlNode filerNode = measureXmlNodeObj.SelectSingleNode("FS");

                    if (filerNode != null)
                    {

                        XDocument fixedFilterXmlObj = XDocument.Load(new StringReader(filerNode.OuterXml));

                        var measureFixedFilters = (from m in fixedFilterXmlObj.Element("FS").Elements("F")
                            select m).ToList();
                        foreach (var fixedFilter in measureFixedFilters)
                        {
                            var fixedFilterValues = (from m in fixedFilter.Elements("VS").Elements("V")
                                select m.Attribute("DESC").Value).ToList();

                            foreach (var value in fixedFilterValues)
                            {
                                Console.WriteLine(value.Trim());
                            }
                        }
                    }
                }
            }
            Console.ReadLine();
        }

根据Veracode的说法,不安全的行是XDocument fixedFilterXmlObj = XDocument.Load(new StringReader(filerNode.OuterXml));

但似乎根据Owsap,it should be safe

  

System.Xml.Linq库中的XElement和XDocument对象   默认情况下,从XXE注入是安全的。 XElement只解析   XML文件中的元素,因此DTD完全被忽略。   默认情况下,XDocument已禁用DTD,并且只有在安全时才会安全   使用不同的不安全XML解析器构建。

所以我似乎犯了使用usafe XML Parser的错误,将XDocument打开到XXE。

I found a unit test that replicates the issue并安全使用XDocument,但我似乎无法确定我的代码究竟是什么不安全,因为我不使用:

XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Parse;   // unsafe!

您可以运行我的代码来复制问题,但您应该使用此值替换空xmlStr的行:here(对于单个帖子而言太大)

1 个答案:

答案 0 :(得分:3)

我不确定这是如何或为何有效,但确实如此:

XDocument fixedFilterXmlObj;
using (XmlNodeReader nodeReader = new XmlNodeReader(filerNode))
{
    nodeReader.MoveToContent();
    fixedFilterXmlObj = XDocument.Load(nodeReader);
}
相关问题
最新问题