本篇介紹了以下代碼安全問題
1、XML Schema配置錯誤:寬鬆的Processing
2、Cookie:路徑範圍過大
3、不安全的SSL:Socket
4、易誤用的權限檢查
5、不安全的SSL:主機名驗證功能被禁用
6、Cookie:未經過SSL加密
7、JavaEE程序:Session中存儲非序列化對象
8、XML Schema配置錯誤:使用Any元素
9、Cookie:域範圍過大
10、可以被重寫的安全檢查方法
1、XML Schema配置錯誤:寬鬆的Processing
詳細信息
如果XML Schema不強制嚴格執行輸入驗證,會允許任意元素或屬性通過驗證。攻擊者有可能將惡意文檔注入至系統。當XML Schema中processContents被設爲lax或skip時,不會對通配符元素和屬性執行輸入驗證。
例如:下列配置文件中將processContents設爲lax。
<?xml version="1.0"?>
<xs:schema xmlns:xs="http://www.w3.org/200