Внедрение внешних сущностей HP fortify XML

Hp fortify показывает мне внедрение внешней сущности XML в приведенном ниже коде:

StringBuilder sb = new StringBuilder();
StringWriter stringWriter = new StringWriter(sb);
xmlSerializer.Serialize(stringWriter, o);
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.LoadXml(stringWriter.ToString());  //bad code
result = xmlDoc.ChildNodes[1].OuterXml;

выше он показывал уязвимость в следующей строке xmlDoc.LoadXml(stringWriter.ToString());

Как я могу решить эту ситуацию?


xml c# c#-4.0 fortify xxe
person user3089816    schedule 08.02.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

используйте xmlDoc.XmlResolver = null; перед загрузкой xml.

person Trinadh Velchuri    schedule 10.02.2017

arrow_upward
0
arrow_downward

Объект XmlDocument имеет внутри себя объект XmlResolver, для которого необходимо задать значение null в версиях до 4.5.2. В версиях 4.5.2 и выше для этого XmlResolver по умолчанию задано значение null.

person chitra_asks    schedule 08.08.2019