13,347
社区成员
发帖
与我相关
我的任务
分享(c#)如何防御XML external entity injection?
最近有人用工具(Acunetix WVS)检测站点提示XXE漏洞攻击,网上查了一些资料都没有解决这个问题。
我的处理方式是在global截获所有Request页面并过滤XXE关键字(<!DOCTYPE|<!ENTITY|SYSTEM|PUBLIC),如果检测到这些关键字则Response.End()。
即使这样,再次检测还是提示存着XXE漏洞攻击,请问各位大神有什么更好的办法可以阻止这类漏洞攻击?
在线等,谢谢!~~~
我的处理方式是在global截获所有Request页面并过滤XXE关键字(<!DOCTYPE|<!ENTITY|SYSTEM|PUBLIC),如果检测到这些关键字则Response.End()。
即使这样,再次检测还是提示存着XXE漏洞攻击,请问各位大神有什么更好的办法可以阻止这类漏洞攻击?
在线等,谢谢!~~~
...全文
请发表友善的回复…
发表回复
A-TK 2018-05-24
- 打赏
- 举报
好的,我试试,谢谢你~~
非专业开发Five 2018-05-24
- 打赏
- 举报
你可以看看腾讯和阿里的漏洞扫描,也是给解决方案的,而且还免费。
非专业开发Five 2018-05-24
- 打赏
- 举报
没有,我们这边好像有一套微软的付费的工具,然后是一套google的检测……他们这个工具post返回值都500了还报告post漏洞你说行不行?[/quote]
我们这边检查工具是Acunetix Vulnerability Scanner,你有用过么?我自己也是下载了破解版来测试的...
检测人员是请其它公司的人,应该是不会换工具检查了~~
[/quote]这个真帮不了你了,我们这边扫描工具高级的多,解决方案都能给出来。
A-TK 2018-05-24
- 打赏
- 举报
你那个工具叫什么名字?有破解版或者试用版之类的嘛?
A-TK 2018-05-24
- 打赏
- 举报
没有,我们这边好像有一套微软的付费的工具,然后是一套google的检测……他们这个工具post返回值都500了还报告post漏洞你说行不行?[/quote]
我们这边检查工具是Acunetix Vulnerability Scanner,你有用过么?我自己也是下载了破解版来测试的...
检测人员是请其它公司的人,应该是不会换工具检查了~~
非专业开发Five 2018-05-24
- 打赏
- 举报
没有,我们这边好像有一套微软的付费的工具,然后是一套google的检测……他们这个工具post返回值都500了还报告post漏洞你说行不行?
A-TK 2018-05-24
- 打赏
- 举报
额....是检测工具不行么
,他们这个工具是付费的额~~~
那你有推荐的工具嘛?
,他们这个工具是付费的额~~~
那你有推荐的工具嘛?非专业开发Five 2018-05-24
- 打赏
- 举报
让你们检测人员换个好点的工具,这真是检测工具不行啊。
非专业开发Five 2018-05-23
- 打赏
- 举报
依据
我是不是该想办法处理一下自己错别字的问题了…………
非专业开发Five 2018-05-23
- 打赏
- 举报
检测工具检测的一句是有这些传入你是否200不看你200后是否输出错误,因此你抛出错误就可以过检查了,是的就是这么烦人,你接上然后输出入参错误是过不了检查的。。。。
A-TK 2018-05-23
- 打赏
- 举报
已经是返回500错误,但是工具还是能检查到,如下图:
A-TK 2018-05-23
- 打赏
- 举报
你的意思是我要抛出错误么?我是返回404,但是还是过不去~~
