#java #xpath #websphere
#java #xpath #websphere
Вопрос:
Я пытаюсь прочитать тег из XML, используя Xpath. Ниже приведен код для того же.
XPathFactory xPathfactory = XPathFactory.newInstance();
XPath duplcatexpath = xPathfactory.newXPath();
XPathExpression duplcatexpathexpr = duplcatexpath.compile(duplicateconditionpath);
Все работает так, как ожидалось, но когда я запускаю сканирование приложения, оно выдает уязвимость при внедрении.XPath.
Есть ли какой-либо способ, которым мы сможем смягчить это.
Комментарии:
1. Какая именно строка выдает уязвимость в AppScan?
2. Вкратце, сначала убедитесь, что ваше приложение не уязвимо для атак с использованием XPath, затем настройте сканирование для подавления предупреждений. Не уверен, с каким из этих двух шагов у вас возникли трудности.
3. @Som третья строка показывает уязвимость.
4. @Michael XPath на самом деле будет находиться в секрете, поэтому мое приложение не будет уязвимо для инъекций Xpath. Но я не могу подавить предупреждения о проверке (поддерживаются на уровне организации).
5. Тогда вам либо придется прекратить использование XPath из-за ложных предупреждений, либо вам придется смириться с предупреждениями. Что еще мы можем сказать? Инструменты, которые сканируют подобные уязвимости, общеизвестно грубы.