Estoy intentando reproducir varios ataques xxe contra un servicio web java.
Cuando intento reproducir "Billion Laughs" Siempre entiendo esto:
Excepción en el hilo "main" org.xml.sax.SAXParseException; número de línea: 1; número de columna: 1; El analizador ha encontrado más de "64,000" expansiones de entidades en este documento; Este es el límite impuesto por la aplicación.
Lo he intentado:
oracle jdk1.7.0 , oracle jdk1.7.0_51 , oracle jdk1.7.0_55 ,
Todos ellos están lanzando la misma excepción, y de acuerdo con esto , versiones _51 y _55 no deberían
¿me estoy perdiendo algo?
Editar:
Funciona cuando uso "-DentityExpansionLimit = 0", por supuesto. Pero necesito un jdk "sin parchear".