Comment faire pour configurer l'analyseur XML pour désactiver entité externe résolution en c#

var xDoc = XDocument.Load(fileName);

Je suis en utilisant le code ci-dessus dans une fonction pour charger un fichier XML. La fonctionnalité sage de sa fonctionne bien mais il montre suivantes Veracode Faille après Veracode vérifier.

Description

Le produit de processus, un document XML peut contenir des entités XML avec des Url qui correspondent à des documents à l'extérieur
de la sphère de contrôle, provoquant le produit d'incorporer des documents incorrects dans son résultat. Par défaut, l'
Entité XML résolveur va tenter de résoudre et de récupérer des références externes. Si contrôlé par l'attaquant XML peut être
soumis à l'une de ces fonctions, alors l'attaquant peut accéder à de l'information sur un réseau interne, local
système de fichiers ou d'autres données sensibles. Ceci est connu comme un XML Entité externe (XXE) attaque.

Recommandations

Configurer l'analyseur XML pour désactiver entité externe de résolution.

Ce que je dois faire pour le résoudre.

InformationsquelleAutor MANISH KUMAR CHOUDHARY | 2015-08-25
  1. 3

    Mettre en œuvre une coutume XmlResolver et de l'utiliser pour la lecture du XML. Par défaut, le XmlUrlResolver est utilisé, qui télécharge automatiquement les résolu références.

    public class CustomResolver : XmlUrlResolver
{
    public override object GetEntity(Uri absoluteUri, string role, Type ofObjectToReturn)
    {
        //base calls XmlUrlResolver.DownloadManager.GetStream(...) here
    }
}

    Et de l'utiliser comme ceci:

    var settings = new XmlReaderSettings { XmlResolver = new CustomResolver() };
var reader = XmlReader.Create(fileName, settings);
var xDoc = XDocument.Load(reader);
    • Je suis l'aide de ce code, en projet windows. Faut-il faire une différence?
    • Ce qui se passe à l'intérieur de la GetEntity() la méthode?
    • Normalement, vous devriez retourner un flux qui contient la DTD ou autre source externe. Par exemple, si vous avez un type de document, comme ce <!DOCTYPE myxml SYSTEM "MyDTD.dtd">, le GetEntity est appelée avec absoluteUri == "MyDTD.dtd", et vous devez retourner un ruisseau avec son contenu. Vous pouvez simplement retourner un vide DTD donc les entités définies dans la DTD restera en suspens.
    • J'ai fait cela, et a effectué une nouvelle analyse de Veracode, mais j'obtiens le même problème. Aucune idée du pourquoi?
    InformationsquelleAutor György Kőszeg
  2. 8

    Si vous n'êtes pas en utilisant entité externe références dans votre XML, vous pouvez désactiver l'outil de résolution par la valeur nulle, d' Comment prévenir XXE attaque ( XmlDocument dans .net)

    XmlDocument xmlDoc = new XmlDocument();
xmlDoc.XmlResolver = null;
xmlDoc.LoadXml(OurOutputXMLString);

    Si vous attendez le document contienne des références d'entité, alors vous aurez besoin pour créer un résolveur personnalisé et blanche ce que vous attendez. Surtout, toutes les références à des sites web que vous ne contrôlez pas.

    InformationsquelleAutor Casey