CWE ID 611:Improper Restriction of XML External Entity Reference

最新推荐文章于 2024-05-14 10:45:34 发布
最新推荐文章于 2024-05-14 10:45:34 发布
阅读量1k 收藏
点赞数
分类专栏: CWE 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aron2278/article/details/119676400
版权
XXE漏洞(XML eXternal Entities)涉及对XML外部实体引用的不当限制。攻击者利用DTD定义的外部实体,通过file://或http://等URI获取本地文件内容或发起远程请求,可能导致敏感信息泄露和防火墙规避。解决方案是禁用XML解析器的外部实体扩展。
摘要由CSDN通过智能技术生成

问题描述
XXE漏洞(XML eXternal Entities),对XML外部实体引用的不当限制。

XML文档可选地包含文档类型定义 (DTD),除其他功能外,它还支持XML实体的定义,可以通过以URI的形式替换字符串来定义实体,XML解析器可以访问此URI的内容并将这些内容嵌入回XML文档中以供进一步处理。但当URI解析为预期控制范围之外的文档,会导致程序将不正确的文档嵌入到其输出中。

程序通过使用 file:// URI 定义外部实体的XML文件,攻击者就可以修改URI来获取本地文件内容,例如,“file:///c:/winnt/win.ini”之类的 URI 指定(在 Windows中)文件 C:\Winnt\win.ini,或 file:///etc/passwd 指定密码基于Unix的系统中的文件。攻击者使用带有 http:// 等其他方案的 URI 可以强制应用程序向攻击者无法直接访问的服务器发出传出请求,这可用于绕过防火墙限制或隐藏端口扫描等攻击源。一旦读取了URI的内容,就会将其反馈到处理XML的应用程序中。该应用程序可以回显数据(例如:在错误消息中),从而暴露文件内容。

Bad Code

public T unmarshal(Class<T> clazz, InputStream is) throws
最低0.47元/天 解锁文章
豹仔頭Aron࿐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CWE ID 117:Improper Output Neutralization for Logs
Aron2278的博客
08-11 1028
问题描述 日志伪造漏洞,攻击者通过伪造或其他方式将恶意数据追加到日志内容中,可能会导致日志文件中的信息发生偏差,受到破坏的日志文件可用于掩护攻击者的跟踪轨迹,甚至还可以牵连第三方来执行恶意行为。最糟糕的情况是,攻击者可能向日志文件注入代码或者其他命令,利用日志处理应用程序中的漏洞。 Bad Code logger.info("response data : {} ", responseBean.getData()); 解决方案 logger.info("response data : {} ", Enco
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611Improper Restriction of XML External Entity Reference
Tianqi_Wukong的博客
01-20 732
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611: Improper Restriction of XML External Entity Reference) 什么是对XML外部实体引用的不当限制? 该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。 XML文档可以选择包含文档类型定义(DTD),该文档类型定义(DTD)除其他功能外,还可以定义XML实体。可以通过提供URI形式的替换字符串来定义
java XML解析防止外部实体注入
weixin_30653023的博客
03-27 1993
  /** * 增加防止部实体注入逻辑 * <功能详细描述> * @param reader * @throws SAXException * @see [类、类#方法、类#成员] */ public static void setReaderFeature(SAXReader reader) ...
Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
最新发布
weixin_45653478的博客
05-14 817
Weblogic Pre-Auth Remote Command Execution 漏洞(CVE-2020-14882, CVE-2020-14883)是针对 Oracle WebLogic Server 的两个安全漏洞。CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,而 CVE-2020-14883 则允许经过身份验证的用户在管理员控制台组件上执行任意命令。
[实践总结] java XML解析防止外部实体注入
张紫娃的博客
01-06 792
【代码】[实践总结] java XML解析防止外部实体注入。
cwe ---Improper Restriction of Excessive Authentication Attempts
guilanl的专栏
05-10 637
http://cwe.mitre.org/data/definitions/307.html#Demonstrative%20Examples Description Summary The software does not implement sufficient measures to prevent multiple failed authentication 
【新】致远OA从前台XXE到RCE漏洞分析
C20220511的博客
11-06 2305
和我们之前分享过的通达OA的漏洞类似,这类主流OA系统现在想要直接一步达到RCE的效果是非常困难的。根据错误提示反向找到对应的逻辑代码com.seeyon.agent.common.interceptor. SecurityInterceptor的preHandle方法,这应该是全局的拦截器,其中关键的代码如图3.6所示。在java环境下是不能直接通过XXE来执行系统命令的,并且这里的XXE是不具有回显的功能,仅能通过XXE来达到SSRF的效果,并且只能进行GET类型的请求。那么这些参数是怎么来的呢?
java代码审计手书(二)
一个码农的笔记
11-21 5071
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 xml解析导致xxe漏洞 漏洞特征:XXE_XMLSTREAMREADER 当xml解析程序收到不信任的输入且如果xml解析程序支持外部实体解析的时候,那么造成xml实体解析攻击(xxe) 危害1:探测本地文件内容(xxexml 外部实体) &lt;?xml version="1.0" enco...
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
cwe_checker:cwe_checker在二进制可执行文件中找到易受攻击的模式
02-06
cwe_checker 注意:最近,我们将默认分析后端从BAP更改为较新的Ghidra后端。 该开关会在命令行界面和docker映像界面中引起一些更改。 请确保相应地更新脚本! 或者,稳定版本仍使用旧界面。什么是cwe_checker? cwe_...
信息安全_数据安全_cwe_checker:Hunting Binary Code .pdf
08-21
信息安全_数据安全_cwe_checker:Hunting Binary Code 安全可信 安全设计 数字取证 云安全 安全风险
cwec_latest.xml.zip
01-05
CWE最新数据XML格式详解》 CWE(Common Weakness Enumeration)是业界广泛采用的一种安全漏洞和弱点的标准枚举,旨在为软件开发者、安全研究人员以及行业专家提供一个共同的语言来理解和讨论软件安全问题。"cwec_...
cwe_latest 2021 common weakness enumeration.pdf
03-24
7. CWE-15: External Control of System or Configuration Setting - 当系统的设置或配置可被外部控制时,攻击者可能利用此漏洞改变系统行为。应限制对这些设置的访问,并实现输入验证,确保只有授权的更改才能生效...
渗透学习的基础和关于 渗透学习的总结OWASP TOP 10的演化
qq_52934910的博客
12-23 709
1、必备基础:HTML 与 JavaScript(xss必学)。 2、至少选择一种操作系统:Windows为主要学习方向,例如:DOS命令; 3、至少选择一种搭建平台服务:Apache为主要学习方向,例如:Apache配置、搭建; 4、至少选择一门编程语言:PHP为主要学习方向,例如:熟悉PHP语法; 5、至少选择一种数据库:Mysql为主要学习方向,例如:熟悉Mysql语句; 学会使用od pd ce 等工具 A01:2021-Broken Access Control从第五位上...
Find-Sec-Bugs 漏洞范例
热门推荐
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
漏洞:Client ReDos From Regex Injection
学无止境,居安思危
06-27 1万+
漏洞描述:扫描漏洞如下:代码:// In IE6, the hash fragment and search params are incorrect if the     // fragment contains `?`.     getSearch: function() {       var match = this.location.href.replace(/#.*/, ...
从两道题看java安全
crispr的博客
05-22 375
#从两道题浅看java安全 0x01 前言 java的web题一直是菜鸡觉得最难的,网鼎杯也出了一道web的java题,因此想结合以前做的java题来简单谈一谈java安全,那就先从网鼎杯的javafile开始吧。 0x02 正文 ###javafile 刚进入这道题就是一个文件上传的页面,先抓个包看看: 看到COOKIE是JSESSIONID,初步判断是java写的web应用,可以任意上传文件,也能下载文件,这里给我提个醒,因为以前遇到过java的任意下载文件的漏洞,很明显解析不了上传的一句话,于是想到
网络安全风向标
颹蕭蕭
12-21 386
CWE Top 25 https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html RankIDNameScore2020 Rank Change [1]CWE-787Out-of-bounds Write65.93+1 [2]CWE-79Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')46.84-1 [3]CWE-125Out-
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
这段文字列出了三种安全漏洞分类: 1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型不一致而导致的安全漏洞。 3. CAPEC-63: Cross-Site Scripting (XSS),即跨站脚本攻击,指的是攻击者通过在网页中注入恶意脚本来窃取用户信息或执行其他恶意操作的攻击方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值