关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611: Improper Restriction of XML External Entity Reference)
什么是对XML外部实体引用的不当限制?
该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。
XML文档可以选择包含文档类型定义(DTD),该文档类型定义(DTD)除其他功能外,还可以定义XML实体。可以通过提供URI形式的替换字符串来定义实体。XML解析器可以访问此URI的内容,并将这些内容重新嵌入XML文档中以进行进一步处理。
对XML外部实体引用的不当限制构成条件有哪些?
满足以下条件,就构成了一个该类型的安全漏洞:
通过提交使用file:// URI定义外部实体的XML文件,攻击者可以使处理应用程序读取本地文件的内容。例如,诸如“ file:/// c:/winnt/win.ini”之类的URI(在Windows中)指定文件C:\ Win
最低0.47元/天 解锁文章
799
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
