Uno strumento di analisi del codice aziendale ha identificato una vulnerabilità di sicurezza in un servizio Web gestito dal mio team. Ha identificato una vulnerabilità XXE (XML External Entity) in questo servizio e ha fatto riferimento al foglio cheat OWASP per risolverlo. link
Il problema è che la soluzione proposta di non consentire dichiarazioni XSD esterne nel servizio interromperà fondamentalmente lo scopo del servizio. L'unica responsabilità del servizio è la presenza di requisiti di controllo molto rigidi e altamente regolati con la trasformazione dei dati in un particolare processo del flusso di lavoro in cui tutta la trasformazione dei dati relativa a questa funzione aziendale deve essere acquisita così com'è senza modifiche e verifiche il checksum deve essere generato per garantire che i dati passati al servizio non siano stati modificati a riposo.
Attraverso ogni trasformazione dei dati in questa unica funzione aziendale, il componente di applicazione di trasformazione richiama questo servizio e passa le versioni Prima e Dopo dei dati insieme a un timestamp. Il servizio calcolerà il checksum e memorizzerà i dati così come . Se applichiamo una restrizione ai dati XML che possiamo accettare, interrompiamo il servizio.
Le lotte politiche che ho a che fare sono di recente, da alcuni imbarazzi di alto profilo, la posizione esecutiva è di una tolleranza assoluta alla tolleranza zero su qualsiasi difetto di sicurezza identificato. Non è abbastanza buono da dire che NON POSSIAMO risolvere il problema poiché ci stiamo dirigendo dall'alto che dovremo risolvere il problema. Non posso in buona fede sostenere che sia un falso positivo perché non posso garantire che alcune applicazioni di reporting utilizzate da un auditor non possano aprire e analizzare questo XML potenzialmente pericoloso (sebbene il servizio stesso sia un servizio di sola scrittura e al momento non ha capacità di segnalazione.
Sto facendo fatica a trovare una soluzione adeguata qui. C'è una soluzione alternativa a dove posso risolvere questo dilemma?