XML注入攻击

最新推荐文章于 2024-05-08 10:15:03 发布
最新推荐文章于 2024-05-08 10:15:03 发布
阅读量1w 收藏 4
点赞数
分类专栏: php 文章标签: xml libxml libxml_disable_entit

一、漏洞描述

XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。

图片素材来自网络

二、形成原因

解析xml文件时允许加载外部实体,没有过滤用户提交的参数 。

三、危害性

可以导致信息泄露、任意文件读取、DOS攻击和代码执行等问题。

四、攻击案例

1. 某服务器端的xml文件内容如下,用户可以获取XML解析后的结果:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<!DOCTYPE root [

<!ELEMENT copyright (#PCDATA)>

<!ENTITY file SYSTEM "file:///etc/passwd">

]>

<root version="2.0">

<data>

Here is the file content: &file;

</data>

</root>

服务端解析XML文件的时候请求实体file指定的URI(这里为file:///etc/passwd),并用请求结果替换file实体的引用锚,导致文件读取。

2. 某服务器端的xml文件内容如下 :

<?xml version="1.0" encoding="UTF-8"?>

<USER role="guest">Attacker Text</USER>

此时如果攻击者输入的Attacker Text的内容为 :User1</USER><USER

role="admin">User2 ,那么将会产生如下xml :

<?xml version="1.0" encoding="UTF-8"?>

<USER role="guest">User1</USER>

<USER role="admin">User2</USER>

一旦应用程序读取了这个文件,并且给每个用户分配访问权限时,User2便获得了管理员权限。

五、防御方法

1. 常见的XML解析方法有:DOMDocument、SimpleXML、XMLReader,这三者都基于 libxml 库解析XML,所以均受影响;xml_parse 函数则基于 expact 解析器,默认不载入外部 DTD,则不受影响。可以在php解析xml文件之前使用libxml_disable_entity_loader(true)来禁止加载外部实体(该方法对上述三种 XML解析组件都有效),并使用libxml_use_internal_errors()禁止报错。

2. 对用户的输入做过滤,如<、>、'、"、&等。

beyond__devil
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML注入漏洞
武天旭的博客
10-05 1947
一、漏洞描述 XML外部实体注入攻击,无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体。
Web服务的XML注入攻击检测
02-24
Web服务的XML注入攻击检测
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 1867
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
XXE注入
最新发布
wholeliubei的博客
05-08 616
🆗,关于 XXE漏洞的总结大致就这些了,后面遇到新的 XXE利用方式再补上。如果你也想学习:黑客&网络安全的零基础攻防教程。
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2139
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
xml外部注入的问题处理
weixin_30361641的博客
04-15 175
https://gjp014.iteye.com/blog/2430885 转载于:https://www.cnblogs.com/chaojibaidu/p/10711672.html
XML攻击
agent_peakey的专栏
03-18 5115
XML防火墙 1.  背景 XML:      元素、属性、实体、PCDATA、CDATA DTD:   元素         属性         实体声明 内部/外部         实体 &实体名称; 命令空间:(xmlns(:ns-prefix)=”nsURI”),这个nsURI没有实际意义,仅仅是作为一个标识。 SOAP:逻辑上是一种协议,内容上是一种固定格式的XML
web漏洞-xml外部实体注入(XXE)
rumil的博客
10-09 2169
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
XML_xml_
09-30
3. **XML攻击**:XML注入攻击是针对处理XML数据的应用程序的常见威胁。攻击者可能会利用不安全的XML解析器插入恶意的XML代码,导致数据泄露或系统崩溃。因此,必须使用安全的解析策略,如禁止外部实体引用,避免XXE...
XStream解析XML实例
04-14
XStream默认不开启安全性,这意味着恶意用户可能会通过XML注入攻击。为了避免这种情况,应始终启用`XStream的安全模式`: ```java xstream.processAnnotations(Person.class); // 需要注解支持 xstream....
XMLView.zip
07-05
因此,防止XML注入攻击,如XXE(XML External Entity)和XSS(Cross-Site Scripting),是开发过程中的重要环节。开发人员需要确保正确验证和编码输入,限制XML解析器的配置,以减少潜在的安全风险。 XMLView这样的...
你所不知道的XML安全——XML攻击方法小结
01-09
转载: 你所不知道的XML安全——XML攻击方法小结. XML可扩展标记语言,被设计用来传输和存储数据,其形式多样。某些在XML中被设计出来的特性,比如 XML schemas(遵循XML Schemas 规范)和documents type definitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML攻击上。
Having Fun with XML Hacking
04-13
然而,如同任何其他编程或数据交换技术,XML也存在安全风险,其中之一就是XML注入攻击XML注入攻击是当恶意用户通过输入恶意构造的XML数据来操纵应用程序的解析逻辑时发生的。这种攻击方式可能导致数据泄露、系统...
Xml外部实体注入(XXE)漏洞(九)
guanjian_ci的博客
02-23 656
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE根元素 [元素声明]> 引用外部DTD <!DOC..
xml 设值注入举例ref_XML外部实体注入
weixin_39873177的博客
11-21 308
一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD<!DOCTYPE 根元素 [元素声明]>引...
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 5696
Xml实体注入漏洞姿势总结
学习记录--Day18(xml实体注入漏洞
veinard_F的博客
10-24 233
XML相关学习 XXE漏洞xml外部实体注入漏洞,该漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击危害。xxe漏洞触发点一般是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 xml: xml被设计为传输和存储数据,关注的主要是数据的内容,而html被设计用来显示数据,也就是数据的外观;xml把数据从html分离,是独立于软件和硬件的信息传输工具。 基本语法:
XML实体注入攻击
Lethe's Blog
08-15 1431
0x01 基础知识 一、XML XML教程 1、什么是 XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 2、XML 与 HTML...
基于XML的依赖注入
WHAN_的博客
11-21 437
1.设值注入:底层调用属性setter方法进行赋值,一定要有setter方法。使用property. 2.构造注入:一定要有带参数的构造方法。使用constructor-arg. 通过设值注入源码为: 1.School类: public class School { private String sname; public void setSname(String sname) { this.s...
Web安全:解析其他注入攻击XML注入
XML注入攻击中,攻击者能够通过操纵输入数据,导致XML文档结构被篡改,从而执行恶意的XML指令。此现象在处理用户提交数据时尤其危险,例如在示例代码中,用户提交的"name"和"email"参数直接拼接到XML结构中,如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值