openrasp XXE规则绕过

Question

xsser opened this issue 3 years ago · 7 comments

规则的编写。。似乎设计了白名单，遇到.xml文件就不检测。
故XXE漏洞中去访问 file:///etc/passwd#.xml就可以绕过。
测试过，可以读取

Answer 1 · 2021-06-18T08:31:54.000Z

你好，请提供下测试用例、JDK版本、应用服务器版本

Answer 2 · 2021-06-18T10:04:16.000Z

jdk1.8
测试用力就是

file:///etc/passwd#.xml

Answer 3 · 2021-06-18T11:31:38.000Z

需要你提供下受影响的XML类库

Answer 4 · 2021-06-21T02:50:29.000Z

SAXReader啥的忘记了。。

Answer 5 · 2021-06-21T10:47:07.000Z

我们成功复现了，不只是#，会尽快修复

Answer 6 · 2021-06-26T14:10:09.000Z

我们成功复现了，不只是#，会尽快修复

能申请一个cve么？

Answer 7 · 2021-06-28T13:12:48.000Z