xxe漏洞详解(xml外部实体注入)

最新推荐文章于 2024-07-18 15:19:39 发布
最新推荐文章于 2024-07-18 15:19:39 发布
阅读量948 收藏
点赞数 1
分类专栏: 漏洞原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candyys/article/details/106309312
版权
本文详细介绍了XXE漏洞,这是一种发生在应用程序解析XML输入时的安全问题,由于未正确处理XML文件引用的外部实体,可能导致任意文件读取、命令执行等危害。内容包括XML和JSON的基础知识,以及XXE漏洞的触发点和构建外部实体注入的三种方式。
摘要由CSDN通过智能技术生成

前置知识

XML:XML使用 DTD(document type definition)文档类型定义来组织数据,格式统一,跨平台和语言,早已成为业界公认的标准。XML是标准通用标记语言 (SGML) 的子集,非常适合 Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。

json:JavaScaript对象表示法(JavaScript Object Notation),是存储和交换文本信息的语法。具有文本量更小、更快和更易解析的特点。Json和HTML不一样,HTML主要用于显示数据,JSON主要用于传递数据,所以一般作为数据的查询接口。

XXE

XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件 和 代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。

XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件

那么如何构建外部实体注入呢?

方式一:直接通过DTD外部实体声明

<?xml version="1.0"?>
<!DOCTYPE a[
    <!ENTITY b SYSTEM "file:///etc/passw
最低0.47元/天 解锁文章
hu4wufu
关注
专栏目录
web渗透--25--XXE外部实体注入
武天旭的博客
09-16 1365
1、漏洞描述: XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致...
XXE--外部实体注入
qq_68233961的博客
10-12 322
XXE--XML外部实体注入
【网络安全渗透测试零基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
jennycisp的博客
07-18 1402
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件XXE渗透与防御第1篇。本文主要讲解XML外部实体注入XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XXE外部实体注入
mlws1900的博客
07-06 151
sql结构化查询语言html超文本标记语言xml可扩展的标记语言报错原因:1.xml有且只能有一个根节点2.标签需要成对出现,否则下面就要加正斜杠3.标签不规则嵌套4.属性的值一定要加上单引号或者双引号 实体引用 XML元素,例如 foo 。如果xml元素内部出现如< 的特殊字符,解析就会失败,为了避免这种情况,XML实体引用(entity reference)替换特殊字符。XML预定义五个实体引用,即用< > & ' " 替换 < > & ' ".........
xxe(xml外部实体注入)
weixin_30653097的博客
07-31 210
XXE(xml外部实体注入漏洞) xml实体分为4种,分别是内部实体、参数实体、预定义实体外部实体 内部实体: 在 DTD 或内部子集(即文档中 <!DOCTYPE> 语句的一部分)中声明,在文档中用作引用。在 XML 文档解析过程中,实体引用将由它的表示替代。 预定义实体实体 描述 &quot; 双引号 &apos; 单引号 &a...
xxe外部实体注入
qq_40390383的博客
06-07 227
攻击者可以上传有漏洞xml 或者可以在原网站的xml文档中添加恶意代码,通过恶意代码或利用上传的xml中的漏洞来对网站服务器进行攻击,这种漏洞xxe外部实体注入 防范措施: 1、尽可能的使用简单的数据格式,避免对敏感数据进行序列化(序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可...
XXE漏洞-XML 外部实体注入
zeroc009的博客
02-11 2761
XXE漏洞-XML 外部实体注入xxe介绍xml基础知识新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 xxe介绍 Xml外部实体注入漏洞XML External Entity Injection)简称XXEXXE漏洞
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞XML是一种标记语言,常用于数据交换,而外部实体XML文档的一部分,允许引用外部资源,如文件系统、网络...
XXE漏洞详解
weixin_56714714的博客
07-25 7827
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
第十八天xxe 外部实体
代码审计
03-25 414
简单来说,XXE(XML External Entity Injection)就是XML外部实体注入。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 一、xml基础 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言
34-XXEXML外部实体注入
XLbb的博客
05-19 967
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
xxe漏洞简介
u011066706的专栏
04-17 4138
xxe漏洞无法复现原因 主要是simplexml_load_file这个函数的问题,在旧版本中是默认解析实体的,但是在新版本中,已经不再默认解析实体了,需要在simplexml_load_file函数中指定第三个参数为LIBXML_NOENT,不然不会解析实体的。 xxe实体注入详解 0x00背景 XXE Injection即XML External Entity Injec
XXE(外部实体注入)详解
2401_82576671的博客
01-23 2049
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
XXEXML外部实体注入详解
一期一会的博客
01-22 5253
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
XXEXML外部实体注入)学习
Goodric的博客
02-16 425
XXE漏洞 XML外部实体注入XML External Entity),简称 XXE 漏洞XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML 文档结构包括 XML 声明、DTD文档类型定义、文档元素。 DTD (Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束。 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。 即服务端接收
XXE漏洞详解(XML外部实体注入)
热门推荐
谢公子的博客
01-12 1万+
目录 XXE XXE漏洞演示利用 Blind OOB XXE 场景1 – 端口扫描 场景2 – 通过DTD窃取文件 场景3 – 远程代码执行 XXE漏洞的挖掘 XXE的防御 在学习XXE漏洞之前,我们先了解下XML。传送门——>XML和JSON数据格式 那么什么是XXE漏洞呢? XXE XXE(XML ExternalEntity Injection)也就是XML...
XXE外部实体注入的学习笔记的简单整理
qq_40671478的博客
10-07 327
XXE外部实体注入 参考链接:https://www.cnblogs.com/backlion/p/9302528.html xxe外部实体注入漏洞:是XML(可拓展标记语言)在引用外部DTD(文档类型定义)实体 0.XML基础知识 XML:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),可扩展标记语言是一种很像超文本标记语言的标记语言。 它的设计宗旨是传输数据,而不是显示数据。它的标签没有被预定义。您需要自行定义标签。它
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值