Sto provando a riprodurre diversi attacchi xxe contro un servizio web java.
Quando provo a riprodurre "Billion ride" ottengo sempre questo:
Exception in thread "main" org.xml.sax.SAXParseException; lineNumber: 1; columnNumber: 1; The parser has encountered more than "64,000" entity expansions in this document; this is the limit imposed by the application.
Ho provato:
oracle jdk1.7.0 , oracle jdk1.7.0_51 , oracle jdk1.7.0_55 ,
Tutti lanciano la stessa eccezione e in base a questo , versioni _51 e _55 non dovrebbero
Mi manca qualcosa?
Modifica:
Funziona quando uso "-DentityExpansionLimit = 0", ovviamente. Ma ho bisogno di un jdk "senza patch".