web安全 XML实体注入风险

最新推荐文章于 2022-08-18 15:14:00 发布
最新推荐文章于 2022-08-18 15:14:00 发布
阅读量6.9k 收藏 2
点赞数
分类专栏: 系统安全性和保密性

描述

 

XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文件未经授权的访问权限,扫描远程计算机,并拒绝远程系统的服务。

 

下面的 XML 文档介绍了 XXE 攻击的示例。

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

 

如果 XML 解析器尝试使用 /dev/random 文件中的内容来替代实体,则此示例会使服务器(使用 UNIX 系统)崩溃。

 

 

解决方案

 

 

应对 XML 解析器进行安全配置,使它不允许将外部实体包含在传入的 XML 文档中。

 

为了避免XXE injections,应为XML代理、解析器或读取器设置下面的属性:

factory.setFeature("http://xml.org/sax/features/external-general-entities",false);

factory.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

 

如果不需要 inline DOCTYPE 声明,可使用以下属性将其完全禁用:

factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

 

要保护 TransformerFactory,应设置下列功能:

TransformerFactory transFact =TransformerFactory.newInstance();

transFact.setFeature(XMLConstants.ACCESS_EXTERNAL_DTD,false);

Transformer trans =transFact.newTransformer(xsltSource);

trans.transform(xmlSource, result);

 

或者,也可以使用安全配置的 XMLReader 来设置转换源:

XMLReader reader =XMLReaderFactory.createXMLReader();

reader.setFeature("http://xml.org/sax/features/external-general-entities",false);

reader.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

Source xmlSource = new SAXSource(reader,new InputSource(new FileInputStream(xmlFile)));

Source xsltSource = new SAXSource(reader,new InputSource(new FileInputStream(xsltFile)));

Result result = newStreamResult(System.out);

TransformerFactory transFact =TransformerFactory.newInstance();

Transformer trans =transFact.newTransformer(xsltSource);

trans.transform(xmlSource, result);

 

最后欢迎大家访问我的个人网站:1024s

崔世勋
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE漏洞中DOCTYPE、ENTITY傻傻分不清-WEB安全基础入门—XML外部实体注入(XXE)
Eason_LYC安全白帽子的成长博客
07-20 2788
XML外部实体注入(XXE) WEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢迎关注订阅专栏! 专栏文章追求对知识点的全面总结,逻辑严密,方便学习掌握。力求做到看完一篇文章,掌握一类漏洞知识。让读者简洁高效的掌握WEB安全知识框架,推开入门深造的大门。 绝不为了追求文章数量,彰显内容丰富而故意拆散相关知识
深入浅出带你了解XML实体注入
最新发布
dzqxwzoe的博客
05-12 1024
Xml外部实体注入漏洞(XML External Entity Injection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以构造加载恶意外部文件,进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法,有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
Java高级特性-第6章:XML技术
qq_42263859的博客
07-12 860
Java高级特性-第6章:XML技术
XML
everythingXHD_的博客
06-10 1674
可拓展的标记语言 树状结构 语法: { &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;students&gt; &lt;students id="1235"&gt; &lt;name&gt
web安全--Xml外部实体注入漏洞(XXE)与
fabao007的专栏
05-02 1366
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
spring框架配置实体类复杂属性注入xml文件过程详解
08-25
Spring 框架配置实体类复杂属性注入 XML 文件过程详解 Spring 框架是 Java Web 项目中至关重要的一个框架,大多 Web 项目在工作层次上分为持久层、服务层、控制层。持久层(DAO、Mapper)用于连接数据库,完成项目...
WEB安全知识总结.zip
12-27
WEB安全知识总结】 在网络安全领域,Web安全是至关重要的一个环节,因为它涉及到用户数据的保护、企业资产的安全以及服务的稳定运行。本总结将深入探讨一些常见的Web漏洞及其范措施,帮助读者快速掌握Web安全的...
web安全漏洞挖掘梳理
06-22
其中,XXE 漏洞是一种常见的安全漏洞,攻击者可以通过构建外部实体注入来攻击 Web 应用程序。 1.什么是 XML XML(Extensible Markup Language)是一种标记语言,用于描述和定义数据的结构和内容。XML 文档通常由...
信息安全_xxe注入应用与拓展.pptx
08-14
XML实体允许开发者引用外部资源,如本地文件、网络资源等。如果应用程序未正确配置或过滤这些实体,攻击者可以通过构造恶意的XML输入来触发XXE注入。 **XXE的常见应用场景:** 1. **基于XML的RPC服务**:如Zend...
XML解析器安全配置
loongshawn的博客
08-03 2904
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
java xslt 实例,XSLT 调用 Java 的类方法
weixin_30111715的博客
03-13 764
曾经有两篇介绍了在 XSLT 里如何调用 C# 或 Js 写的函数,其中用到了与微软相关的,像:xmlns:msxsl="urn:schemas-microsoft-com:xslt", 。回到了 Java 环境同样得考虑在 XSLT 中如何调用 Java 的方法,毕竟在 XSLT 外处理内容要方便许多。参考了一些网上的文章,大多讲的不怎么好理解与应用,未尝试之前不免让人想缩手。其实做起来可以更...
DOM解析之DOM护-XXE(外部实体注入漏洞)
就写一行代码
11-20 1240
最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞” 也就是说 涉及微信回调解析xml的过程需要补充一个止外部实体注入的代码,以下以DOM为例。 具体代码如下: 这个是一个公共的方法 用来解析之前加入xml护 package com.net.pay.wxpay.util; import java.io.IOException; import javax.xml...
在.NET下如何预XXE注入攻击
weixin_34000916的博客
12-29 341
接下来关于.NET中XXE注入的内容来自Dean Fleming单元测试的Web站点:https://github.com/deanf1/dotnet-security-unit-tests。该站点覆盖了目前.NET下支持的所有XML解析器,且测试用例均展示了哪些情况下它们对于XXE注入而言是安全的,哪些情况下又是不安全的。这些内容更早之前是基于James Jardine这篇关于.NET XXE的...
javax.xml.transform.TransformerFactoryConfigurationError的解决办法
jiashaoshan1986的博客
04-19 736
第一步: 去看tomcat的webapps,里边也部署上了。接着用昨天刚学的一招必杀,呵呵!去看C:\Program Files\Apache Software Foundation\Tomcat 5.0\logs下的日志,显示javax.xml.transform.TransformerFactoryConfigurationError Provider org.apache.xalan....
javax.xml.transform.TransformerFactoryConfigurationError
::: 移动互联网时代开发者 :::
02-15 3340
 源代码:Transformer xformer = TransformerFactory.newInstance().newTransformer();导致javax.xml.transform.TransformerFactoryConfigurationError发生。经过仔细研究,发现原因:jdk与tomcat之间的关于TransformerFactoryImpl类的冲突造
从XXE漏洞修复引起Not supported: http://javax.xml.XMLConstants/property/accessExternalDTD说到SPI机制...
u013247068的博客
08-18 1475
引子   在使用Fortify扫描时代码报XML External Entity Injection,此漏洞为xml实体注入漏洞,XXE攻击可利用在处理时动态构建文档的 XML 功能。修复方案也包含了增加安全配置,使它不允许将外部实体包含在传入的 XML 文档中。 具体在修复过程中,代码在解析drools的transfer.xls时,调用代码中增加内容,包括serFeature和set...
XXE Injection笔记
Bendawang's Blog
07-05 3870
XXE Injection笔记
"XXE漏洞分析与御:深度剖析XML实体注入漏洞及范措施
构建外部实体注入是XXE攻击的关键步骤,可以通过DTD外部实体声明进行攻击,通过引入外部DTD文档再引入外部实体声明进行攻击,或者通过引入外部DTD文档再引入参数实体进行攻击。XXE漏洞的利用方式包括本地任意文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值