服务端安全之XML外部实体注入(XXE)

最新推荐文章于 2023-06-11 14:27:58 发布
最新推荐文章于 2023-06-11 14:27:58 发布
阅读量916 收藏
点赞数
分类专栏: Web安全 文章标签: XXE
原文链接:https://portswigger.net/web-security/xxe
版权

1. 什么是XXE?

XXE是XML external entity (XXE) injection
在这里插入图片描述

2. XXE是怎么发生的?

XML规范中包含了一些不安全的特性,如果XML parser实现了这些特性,就存在安全隐患。XML external entity是一种自定义XML实体,其定义的值是从声明它们的DTD外部加载的。从安全性的角度来看,外部实体会存在潜在风险,因为它们允许根据文件路径或URL的内容定义实体。

3. XXE攻击的种类

3.1 利用XXE读取文件内容

为了实现这种攻击,有两种方式:
(1)引入(或编辑)DOCTYPE元素,因为这里可以定义指向文件的路径

这里举个例子,假设有一个应用通过提交下面的XML数据来查询库存中产品的信息。

<?xml version="1.0" encoding="UTF-8"?>
<stockCheck><productId>381</productId></stockCheck>

如果应用没有做任何XXE防护的话,可以使用下面的payload来利用XXE的漏洞,读取/etc/passwd的内容。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>

XXE的payload定义了外部的entity: &xxe; 它的值是文件/etc/passwd的内容,并且在productId中使用。
这就导致应用的response为passwd的内容。

Invalid product ID: root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:
最低0.47元/天 解锁文章
dupei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Xxe外部实体注入XML External Entity Injection)_externalmetadata
m0_61549674的博客
04-06 775
网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码。
WEB安全XXE实体注入漏洞.pdf
12-12
WEB安全XXE实体注入漏洞
XML 实体
weixin_33937913的博客
08-06 183
实体可以简单的理解为引用数据项的方法,可以是普通的文本也可以是二进制数据。     实体可以分为通用实体参数实体。通用实体用于XML当中,用于引用文本或者二进制数据,而参数实体只能在DTD中使用。通用实体参数实体可以是内部实 体或者是外部实体实体还可以分为未解析与解析的实体,不同在于解析实体是规范的XML文本,而未解析的实体是不应该被解析器解析的二进制数据。 3种实体可以组合出8种实体,...
初探XML外部实体注入漏洞
最新发布
m0_55641973的博客
06-11 118
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。(libxml<2.9 默认开启),导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD现在很多语言里面对应的解析。是被解析的字符数据(parsed character data)。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XML实体
Alec的专栏
05-19 1304
实体可以用以下3种方式分类:1、通用实体参数实体,通用实体(general entity)用于XML文档中,在文档中通过引用来生成文字数据或二进制数据;而参数实体(parameter entity)只能用于DTD中。2、内部实体外部实体,内部实体(internal entity)完全引用它的文档内定义;外部实(external entity)的内容则全部来源于外部文档。3、解析实体和未解析实体
XXE (XML External Entity Injection) :XML外部实体注入
weixin_33843409的博客
07-18 188
XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可禁用外部实体注入 0x02 XXE利用 简单文件读取 基于file协议的XXE攻击 XMLInject.php <?php #Enable...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
信息安全_xxe注入应用与拓展.pptx
08-14
什么是XXE 什么地方可能存在XXE Zend框架 Xml-rpc模块的xxe Springmvc里的xxe slim框架里的xxe 解析docx文件 XXE能干嘛 XXE怎么去读文件 XXE注入外带数据回显 XXE怎么去修复
XXE-实体注入
weixin_45634365的博客
03-17 190
一、XXE简介 XXEXML External Entity,即外部实体,从安全角度理解成XML External Entity attack XML外部实体注入攻击 XXE-XML实体注入:用户输入的数据被当做XML代码执行 XMLXML,可扩展标记语言(EXtensible Markup Language) XML,是一种标记语言,类似HTML XML,设计宗旨是传输数据,而非显示数据 XML,标签没有被预定义,需要自行定义标签 XML,被设计为具有自我描述性。 XML,W3C的推荐标准 XML
Fortify漏洞之XML External Entity Injection(XML实体注入
arkqyo2595的博客
05-09 910
  继续对Fortify的漏洞进行总结,本篇主要针对 XML External Entity Injection(XML实体注入)的漏洞进行总结,如下: 1.1、产生原因:   XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配...
XML外部实体注入学习
paidx0
08-26 1546
前言 最近做题做到XXE 这类型的题,也没有系统学习过,只是简单知道他和 XML 有关,这次就了解了一下XXE 漏洞 简单了解XML XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输信息 XML 允许创作者定义自己的标签和自己的文档结构 XML的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,
XML之自定义参数实体
weixin_30497527的博客
11-06 874
自定义参数实体就是在普通实体前面加上“%”,其中通过<!ENTITY>声明实体 例子如下: DTD文件: 对应的XML文件: 转载于:https://www.cnblogs.com/dingxiaomei/p/7795254.html...
XML中添加实体
风随星月
10-06 1010
为文档创建文本宏 许多开发人员在 XHTML 中使用实体代替特殊字符,但是也可以在 XML 中定义实体来简化创作或者引用外部文档的内容。在我们创建文档类型定义(Document Type Definition,DTD)并试图减小它的表面复杂性以便适合人类阅读时,实体也能派上用场。本文将全面介绍 XML 实体,并展示如何在文档中利用它们的优势。 0 评论: Ch
XXEXML外部实体注入)详解
一期一会的博客
01-22 5159
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
XXE初识
Alex_andra的博客
05-04 635
前言 最近在玩的ctf都有一个题是xxe漏洞,没见过没学习过,感觉一脸懵逼。。。课后赶紧来学习一波。。。 简介 XXE(XML External Entity Injection) 全称为 XML 外部实体注入。实际上就是XML外部实体注入。重点就在外部实体。 首先,我们需要对XML有一定的了解。 XML基础 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允...
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值