Una herramienta de análisis de código corporativo identificó una vulnerabilidad de seguridad en un servicio web que mi equipo mantiene. Identificó una vulnerabilidad XXE (entidad externa XML) en este servicio e hizo referencia a la hoja de trucos de OWASP para resolver esto. enlace
El problema es que la solución propuesta para rechazar las declaraciones XSD externas en el servicio fundamentalmente romperá el propósito del servicio. La responsabilidad exclusiva del servicio es que existen requisitos de auditoría muy estrictos y altamente regulados con la transformación de datos en un proceso de flujo de trabajo particular hacia donde toda la transformación de datos relacionada con esta función de negocio en toda la empresa debe capturarse tal como está sin ninguna modificación ni verificación. se debe generar una suma de comprobación para garantizar que los datos pasados al servicio no se hayan modificado en su totalidad.
A través de cada transformación de los datos en esta función empresarial, el componente de la aplicación transformadora invoca este servicio y pasa las versiones Antes y Después de los datos junto con una marca de tiempo. El servicio calculará la suma de comprobación y almacenará los datos tal como están . Si aplicamos una restricción a los datos XML que podemos aceptar, estamos rompiendo el servicio.
Las luchas políticas con las que estoy lidiando son las de algunas vergüenzas de alto perfil recientemente, la postura ejecutiva es una postura de tolerancia cero absoluta en cualquier defecto de seguridad identificado. No es lo suficientemente bueno como para decir que NO PODEMOS solucionar este problema, ya que DEBEMOS arreglarlo. No puedo, de buena fe, argumentar que es un falso positivo, ya que no puedo garantizar que alguna aplicación de informes utilizada por un auditor no abra y analice este XML potencialmente peligroso (aunque el servicio en sí es un servicio de solo escritura y no tiene capacidades de informes en este momento).
Estoy luchando para encontrar un camino adecuado para avanzar aquí. ¿Existe una solución alternativa para resolver este dilema?