Java XXE Injection - Billion Laughs non funziona

1

Sto provando a riprodurre diversi attacchi xxe contro un servizio web java.

Quando provo a riprodurre "Billion ride" ottengo sempre questo:

Exception in thread "main" org.xml.sax.SAXParseException; lineNumber: 1; columnNumber: 1; The parser has encountered more than "64,000" entity expansions in this document; this is the limit imposed by the application.

Ho provato:

oracle jdk1.7.0 , oracle jdk1.7.0_51 , oracle jdk1.7.0_55 ,

Tutti lanciano la stessa eccezione e in base a questo , versioni _51 e _55 non dovrebbero

Mi manca qualcosa?

Modifica:

Funziona quando uso "-DentityExpansionLimit = 0", ovviamente. Ma ho bisogno di un jdk "senza patch".

    
posta justatester 13.10.2016 - 04:33
fonte

0 risposte

Leggi altre domande sui tag