JAVA Owasp Zap SOAP XML 注入

Question

我在我的服務器應用程序上運行了 Zap，但我一直遇到這個問題

<s12:Body>
    <sch:somethingRequest xmlns:sch="http://www.axa.be/cos/synchro">
        <sch:value>paramValue</sch:value> 
        <sch:value>paramValue_modified</sch:value>
    </sch:somethingRequest >
 </s12:Body>

它一直告訴我它很容易受到 XML 注入的影響，因為代碼是由服務器解釋的......

基本上，第二個“值”標簽替換了前一個標簽內的數據......

這是我的 xsd 樣品

    <xs:element name="somethingRequest">
        <xs:complexType>
            <xs:sequence>
                <xs:element name="value" type="xs:string" />
            </xs:sequence>
        </xs:complexType>
    </xs:element>

我試過這樣的東西，但仍然有同樣的問題......

    @Bean
    public SAXParserFactory saxParserFactory() throws SAXNotRecognizedException, SAXNotSupportedException, ParserConfigurationException  {
        final SAXParserFactory spf = SAXParserFactory.newInstance();
        spf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
        spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        return spf;
    }

    @Bean
    public SAXParser saxParser(final SAXParserFactory factory) throws ParserConfigurationException, SAXException  {
        final SAXParser parser = factory.newSAXParser();
        parser.setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, "");
        parser.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, "");
        return parser;
    }

有任何想法嗎？ 謝謝。

Answer 1

在 WSDL 文件中使用 SOAP 屬性的詳細描述。

正如警報“解決方案”所暗示的，如果您的 SOAP 請求已針對強模型/模式進行檢查，那么您應該拒絕包含重復元素的請求。

您也可以參考與警報相關的“參考”：

http://www.ws-attacks.org/index.php/XML_Injection

模式驗證示例：

例如，當預計只有一個最大長度為 20 個字符的元素時，SOAP 主體的 XML 架構應僅包含以下內容：

<xs:element name="surname">
  <xs:simpleType>
    <xs:restriction base="xs:string">
      <xs:minLength value="0"/>
      <xs:maxLength value="20"/>
    </xs:restriction>
  </xs:simpleType>
</xs:element>