WebWall-11.XXE(XML External Entity attack)

最新推荐文章于 2022-10-28 14:31:07 发布
最新推荐文章于 2022-10-28 14:31:07 发布
阅读量152 收藏
点赞数
分类专栏: # WebWall 文章标签: xml web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13554371686/article/details/126573871
版权

概述

什么是xml?

xml一般指可扩展标记语言
可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。
在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 它非常适合万维网传输,提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。是Internet环境中跨平台的、依赖于内容的技术,也是当今处理分布式结构信息的有效工具。

漏洞测试说明

XXE -“xml external entity injection”

既"xml外部实体注入漏洞"。
概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"
也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

这个Libxml 版本必须在2.9.0之前的版本

<!--第一部分:XML声明-->
<?xml version="1.0"?>

<!--第二部分:文档类型定义DTD-->
<! DOCTYPE note[<!--定义此文档是note类型的文档-->
<! ENTITY entity-name SYSTEM"URL/URL"><!--外部实体声明
]]]>

<!--第三部分:文档元素-->
<note>
<to>Dave</to>
<from>Tom</from>
<head> Reminder</head>
<body> You are a good man</body>
</note>

DTD 简介

其中,DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

内部申明DTD格式
<!DOCTYPE 根元素 [元素申明]>

外部引用DTD格式
<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">

引用公共DTD格式
<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

外部实体例

外部实体引用 Payload

<?xml version="1.0"?>

<!DOCTYPE ANY[
<!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>

外部引用可以支持http,file,ftp等协议。

如果一个接口支持接收xm|数据,且没有对xml数据做任何安全上的措施,就可能导致XXE漏洞

simplexml_load_string()

函数转换形式良好的XML 字符串为 SimpleXMLElement 对象。

实验测试

打开pikachu的xxe,我们先查看他的后端代码,我们可以看到他是通过post请求来获取到前端的xml数据,然后直接给simplexml_load_string()函数进行解析,然后将解析的数据再返回到前端

if(isset($_POST['submit']) and $_POST['xml'] != null){


    $xml =$_POST['xml'];
//    $xml = $test;
    $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT);
    if($data){
        $html.="<pre>{$data}</pre>";
    }else{
        $html.="<p>XML声明、DTD文档类型定义、文档元素这些都搞懂了吗?</p>";
    }
}

?>

正常xml

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker "XXE kaikai">
]>
<name>&hacker;</name>

在这里插入图片描述

可以看到直接将我们DTD中的值给返回了

问题xml

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>

这个测试还是只能在liunx部署的情况才可以实现

防范建议

1.使用开发语言提供的禁用外部实体的方法

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

Python:

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2.过滤用户提交的XML数据

如:<!DOCTYPE和<!ENTITY,SYSTEM和PUBLIC

凯歌响起
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaee第二阶段测试题
09-14
javaee第二阶段测试题,在Java中,欲成功更新表course中数据(hours字段为int型,coursethitle为nvarchar型),假设已经获得了数据库连接,Connection的对象con,则在以下程序段的下划线处应该填写的代码是
JAVAEE第二周
angel_20040448的博客
03-19 116
1.web后台应用开发 步骤一:分析 步骤二:设计 步骤三:实现 步骤四:打磨抛光 详情见 https://www.metinfo.cn/faq/shownews1182.htm 2.XML介绍 可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。 在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可...
XXE&XML之利用检测绕过
weixin_52221158的博客
08-27 1326
XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
Xml那些事
追梦的小狼狗
05-15 210
xml文件读取 什么是xml文件? xml文件的表示是一种以".xml"为扩展名的文件。 其存储结构为树形结构: 节点名称区分大小写 xml文件开头要加上版本信息和编码方式< ?xml version=“1.0” encoding=“UTF-8”? > 应用Dom方式解析Xml文件 首先我们要明确,解析xml文件的目的是获取xml文件中的节点名、节点值、属性名及属性值 xml中节...
DocumentBuilder.parse的问题。
zimosangtian的专栏
04-15 8531
首先感谢 ruby_cn(__ http://www.ruby-cn.org/ __)的blog! 按你说的,我删除了项目中和xml相关的所有包,一切如故。我干脆删了所有的包,除了jre和j2ee,还是如故。我将DocumentBuilderFactory对象打印出:System.out.println(factory);令人惊讶的结果出现了:org.apache.xerces.jaxp.Doc
WebWall - Advanced Privacy Protection-crx插件
04-03
WebWall-高级隐私保护是可用的最全面的隐私保护扩展。 它是第一个结合最佳列表列表,高级规则和人工智能技术的反跟踪和隐私保护技术的公司。 所有这些都无需将您的任何数据传输到我们的服务器即可完成。 WebWall可以...
Array_负载均衡(APV系列)产品详细介绍
04-11
1.5. Webwall 功能 24 1.6. 带宽管理(QOS) 24 1.7.集群( Cluster)功能 26 二、Array APV解决方案优势 26 2.1. 降低成本,保护投资 27 2.2. 可扩展性 27 2.3. 实用性和可靠性 27 2.4. 安全性 28 2.5. 可管理性 28...
Array TM网络数据流安全管理解决方案
07-09
Array TM网络数据流安全管理解决方案是一种综合的网络管理平台,它将多种基本的网络功能整合在一起,包括4-7层服务器负载均衡、SSL加速、高性能数据缓存、Webwall安全、动态内容压缩、链接负载均衡和集群等。...
xml注入漏洞
最新发布
weixin_45095113的博客
10-28 4833
xml注入
Xml外部实体注入漏洞(XXE)与防护
热门推荐
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
XML外部实体(XXE)注入详解
zz_strive_2012的专栏
07-30 4971
###XMLxxe注入基础知识 1.XMl定义 XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。 XML:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),.
java解决微信支付关于XML解析存在的安全问题
会飞的老王博客
07-05 5603
最近微信支付发了一条通知也就是微信支付暴露除了XXE漏洞  官方文档描述有限 在这里给出详细的微信支付代码关于这个漏洞结合官方sdk的解决方案首先创建XML解析工具类 官方SDK给出(主要是这个来阻止XXE)import org.w3c.dom.Document; import javax.xml.XMLConstants; import javax.xml.parsers.DocumentBu...
Java代码审计手册(English)
重新启程
10-14 1万+
Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET...
java builder.parse_JAVA之DocumentBuilder生成解析XML
weixin_36252577的博客
02-17 2002
1.创建DocumentBuilderFactoryDocumentBuilderFactory是用于创建DOM模式的解析器对象 , DocumentBuilderFactory是一个抽象工厂类,它提供了一个newInstance方法 ,这个方法会根据本地平台默认安装的解析器,自动创建一个工厂的对象并返回。/*** DOM模式的解析器对象* @return* @throws ParserConfi...
Java解释XML出现DocumentBuilder.parse java.net.UnknownHostException的问题处理
huzgd的专栏
05-07 1万+
<br />在RESIN WEB服务中报的错,代码很简单:docBuilder.parse(fileName),平时在公司运行挺好的,某一天我把它COPY到笔记本上时就报错了,错误堆栈如下:<br /><br />DocumentBuilder.parse java.net.UnknownHostException: D<br />        at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:177)<br />        at jav
Array APV系列:全面的负载均衡与应用交付解决方案
- **Webwall功能**:可能涉及网络安全过滤和保护。 - **带宽管理(Quality of Service, QoS)**:确保不同服务的优先级和带宽分配。 - **集群功能(Cluster)**:支持设备之间的协同工作,增强整体性能和可用性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值