Как Android XmlPullParser обрабатывает уязвимости?

Если я использую XmlPullParser в своем приложении, возможно ли, чтобы он подвергался уязвимостям, таким как « миллиард смеется »?

Какие процедуры безопасности следует использовать при использовании XmlPullParser?

По умолчанию XMlPullParser не будет анализировать объекты, поэтому вы не будете подвержены таким уязвимостям. Но вам придется иметь дело с исключениями, запущенными при попытке разбора необъявленных сущностей. Чтобы сохранить это поведение, вы должны убедиться, что XMlPullParser.FEATURE_PROCESS_DOCDECL установлен в значение false перед любым XMlPullParser.FEATURE_PROCESS_DOCDECL документа.

Также рекомендуется не проверять ваш XML с DTD, поступающим из неизвестного источника. Лучшим подходом для этого является использование встроенного DTD в вашем приложении и использование его для проверки XML.

Вы можете найти больше в XML Extenal Entities по следующим ссылкам:

  • XXE Обработка от OWASP
  • Профилактический бюллетень XXE от OWASP