Sto scrivendo una suite di applicazioni Python 3 (incluso prima un programma di utilità della riga di comando, seconda un HTTP(S
) che si occupano di XML.
Oggi ho scoperto che ci sono diverse vulnerabilità correlate a XML .
La mia domanda principale: vale la pena di passare interamente a defusedxml ? Non penso sia necessario per attacchi non DoS (come l'accesso ai file locali attraverso le entità SYSTEM). Quindi defusedxml
è necessario solo contro gli attacchi DoS, giusto?
Se fosse solo per l'utilità della riga di comando, per attacchi come miliardi di risate, sarebbe abilitato a eseguire il mio programma in ulimit
.
Ma nonostante sia ora focalizzato sull'utilità della riga di comando, voglio che il mio lavoro corrente venga utilizzato nel proxy multi-utente HTTP(S)
, che scriverò anch'io.
È vero che per creare il proxy, devo usare defusedxml
per proteggere da miliardi di risate e attacchi simili? Allora (dopo aver usato defusedxml
) sarà sufficiente limitare la dimensione dei file XML scaricati? O ho bisogno di alcune (e?) Contromisure più avanzate? O qualche altro tipo di contromisure?