5
アプリケーションでXmlPullParserを使用している場合、「billion laughs」などの脆弱性にさらされる可能性がありますか?Android XmlPullParserはどのように脆弱性を処理しますか?
XmlPullParserを使用する際にはどのようなセキュリティ処置を講じるべきですか?
A
答えて
0
デフォルトでは、XMlPullParserはエンティティを解析しないため、このような脆弱性にさらされることはありません。しかし、宣言されていないエンティティを解析しようとすると例外が発生します。 この動作を維持するには、ドキュメントを解析する前にXMlPullParser.FEATURE_PROCESS_DOCDECLがfalseに設定されていることを確認する必要があります。
不明なソースからのDTDでXMLを検証しないこともお勧めします。これに最善の方法は、アプリケーションで埋め込みDTDを使用し、それを使用してXMLを検証することです。
あなたはこれらのリンク次のXML Extenalエンティティの詳細を見つけることができます:user13 @
関連する問題
- 1. glibc fnmatchの脆弱性:どのようにしてこの脆弱性を公開しますか?
- 2. Wordpressの脆弱性を理解する
- 3. Libpngの脆弱性
- 4. 最近のJavaの脆弱性は、Androidやプログラミングにどのような影響を及ぼしますか?
- 5. インクルードファイルの脆弱性
- 6. ActiveXの脆弱性
- 7. ネクサスセキュリティの脆弱性
- 8. クリックジャッキングの脆弱性
- 9. Mitigaing OSのインジェクション攻撃の脆弱性ASP.NETの脆弱性
- 10. Androidのlibpngセキュリティの脆弱性
- 11. Twilio Android SDK OpenSSLの脆弱性
- 12. Android - 情報漏洩の脆弱性OutputStream
- 13. Libpngの脆弱性問題
- 14. AJAXログインによるセキュリティ脆弱性
- 15. ディレクトリ脆弱性とは何ですか?
- 16. Javaのコマンドインジェクションの脆弱性
- 17. MoPubのセキュリティの脆弱性
- 18. XSS HTMLリンクタグの脆弱性
- 19. ASP.NET MVCの脆弱性テスト
- 20. SQLインジェクションの脆弱性
- 21. Facebookトークンハイジャックの脆弱性
- 22. TOCTTOUコードの脆弱性
- 23. .swf魔法の脆弱性
- 24. asp.netハッシュテーブルの脆弱性
- 25. IBM AppDOS.ConnectionCloseの脆弱性
- 26. Rails SQLインジェクションの脆弱性
- 27. XSS PHPスクリプトの脆弱性
- 28. Strcmpr関数の脆弱性
- 29. Web脆弱性を扱うC#クラス
- 30. SQLインジェクションの脆弱性がPROGRAMMATICALLYかどうかを確認するには?
をキーワードにバッククォートを追加を停止してください、それは適切なHTTPではありません://メタ。 stackexchange.com/questions/135112/inline-code-spans-should-not-be-used-for-emphasis-right – Luksprog
バックティックとはどういう意味ですか?私はこの質問の中の何が適切でないかは分かりません。 – sameer54321
私のコメントはあなたのためではなく(あなたの質問は大丈夫です)、あなたの質問に不適切な編集をした別のユーザーに宛てられました。 – Luksprog