Java изначально предоставляет множество различных опций для анализа XML. Однако во всех доступных анализаторах Java по умолчанию включена внешняя сущность XML (XXE). Это делает библиотеки Java XML особенно уязвимыми для внедрения XXE. При включенном XXE можно создать вредоносный XML-файл, который считывает содержимое произвольного файла на компьютере. Неудивительно, что атаки XXE входят в Топ-10 уязвимостей OWASP. В этом видео я объясняю, как работает инъекция XXE, и демонстрирую, как вы можете предотвратить эти типы атак в своем собственном Java-коде.
Оригинал: “https://dev.to/brianverm/java-xml-external-entity-injection-explained-and-solved-3h73”