本篇介绍了以下代码安全问题
1、XML Schema配置错误:宽松的Processing
2、Cookie:路径范围过大
3、不安全的SSL:Socket
4、易误用的权限检查
5、不安全的SSL:主机名验证功能被禁用
6、Cookie:未经过SSL加密
7、JavaEE程序:Session中存储非序列化对象
8、XML Schema配置错误:使用Any元素
9、Cookie:域范围过大
10、可以被重写的安全检查方法
1、XML Schema配置错误:宽松的Processing
详细信息
如果XML Schema不强制严格执行输入验证,会允许任意元素或属性通过验证。攻击者有可能将恶意文档注入至系统。当XML Schema中processContents被设为lax或skip时,不会对通配符元素和属性执行输入验证。
例如:下列配置文件中将processContents设为lax。
<?xml version="1.0"?>
<xs:schema xmlns:xs="http://www.w3.org/200