代码审计之XML解析注入

最新推荐文章于 2024-03-14 21:53:42 发布
最新推荐文章于 2024-03-14 21:53:42 发布
阅读量607 收藏
点赞数
分类专栏: 代码审计 文章标签: 代码审计 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fageweiketang/article/details/100066350
版权
本文探讨了代码审计中的XML解析注入问题,指出当程序未对XML输入进行过滤和验证时,可能导致文件加载、实体注入甚至命令执行等安全风险。以Java的XMLDecoder为例,分析了一个简单的代码示例,展示未验证XML内容时,如何触发命令执行。总结强调了验证可控输入的重要性。
摘要由CSDN通过智能技术生成

0x00:介绍

渗透过程中的XML注入原因在于程序没有对接受的XML内容进行过滤和验证,而用户又可控,导致任意加载文件、实体注入、甚至命令执行等问题。代码审计方面只要查看代码有无过滤机制即可。

0x01:示例

简单示例如下,例如拿Java的XMLDecoder解析XML为例,示例代码如下。
 

package shuruyanzheng;

import java.io.BufferedInputStream;
import java.io.File;
import java.io.FileInputStream;
import java.beans.XMLDecoder;

public class Xmldecoder {

	public static void XMLDecode_test(String path) throws Exception {
		File file = new File(path);
		FileInputStream fis = new FileInputStream(file);
		BufferedInputStream bis = new BufferedInputStream(fis);
		XMLDecoder xd = new XMLDecoder(bis);
		xd.readObject();
		xd.close();
	}

	public static void main(String[] args) {
		String path = "test.xml";
		try {
			XMLDecode_test(path);
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}
最低0.47元/天 解锁文章
aFa攻防实验室
关注
专栏目录
java代码审计之租车系统1
08-03
### Java代码审计之租车系统1知识点详述 #### 一、环境搭建与源代码准备 在进行Java代码审计之前,首先要准备好相应的开发环境,并下载所需的源代码。 **1. 下载源代码** - **文件**: `zxzcxt.zip` - **步骤**: ...
Java安全代码审计中常见的全局过滤方式
45angle仰望安全
09-16 1463
Spring中常见的全局过滤方式有三种:Filter、Conterceptor、Aspect。 三者的执行顺序是:Filter > Conterceptor > Aspect。 Filter在请求到达具体的Controller之前执行,所以无法获取到Controller相关的数据,仅仅能处理请求及响应数据流。 Conterceptor可以获取到处理的Controller方法的相关的数据,但是此时的Controller是以静态方法(非动态)的形式出现的。 Aspect可以获取
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
Boom!脑洞大爆炸的博客
11-11 1281
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
java 解析xml_java反序列化——XMLDecoder反序列化漏洞
weixin_39753260的博客
12-02 184
本文首发于“合天智汇”公众号 作者:Fortheone前言最近学习java反序列化学到了weblogic部分,weblogic之前的两个反序列化漏洞不涉及T3协议之类的,只是涉及到了XMLDecoder反序列化导致漏洞,但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束了,并没有讲为什么XMLDecoder会触发反序列化导致命令执行。于是带着好奇的我就跟着调了一下XMLDecoder...
XMLDecoder反序列化漏洞
weixin_33858336的博客
11-08 207
Java 调用XMLDecoder解析XML文件的时候,存在命令执行漏洞。 样例XML文件如下所示: 1 2 3 4 5 6 7 8 9 10 11 <?xmlversion="1.0"encoding="UTF-8"?> <javaversion="1.8.0_131"class="java.beans....
XML Decoder反序列化漏洞(CVE-2017-10271)
热门推荐
yumengzth的博客
07-27 1万+
0x00 漏洞产生的原因 CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。 反序列化漏洞的原理与动态调试推荐链接 WebLogic XMLDeco...
2018_代码审计点线面实战.pdf
08-08
XML外部实体注入(XXE)攻击就是一个典型的例子,它允许攻击者利用XML解析器加载或执行外部实体中的代码。 代码审计的工具和方法论也是极其重要的部分。一个有效的审计过程需要合适的工具来辅助发现代码中的安全...
PHP代码审计
10-09
**代码审计**是指对应用程序源代码进行系统性的检查工作,旨在发现并修复开发阶段存在的漏洞或逻辑错误,以防止这些漏洞被非法利用,从而避免给企业带来不必要的风险。进行代码审计不仅需要检查代码本身,还需要深入...
WebGoat8-xxe注入漏洞分析
09-15
4. 使用安全的 XML 解析器:使用安全的 XML 解析器,以防止攻击者构造特殊的 XML 实体。 WebGoat8 中的 XXE 注入漏洞 WebGoat8 是一个开源的 Web 应用程序安全测试框架,提供了多种漏洞测试环境,包括 XXE 注入...
PHP代码审计入门指南1
08-04
- **XXE(XML外部实体注入)**:利用XML解析器的外部实体加载功能,读取服务器上的敏感文件或执行命令。 - **反序列化漏洞**:恶意序列化数据可能导致代码执行或数据篡改。 - **LDAP注入**:对LDAP(轻量级目录访问...
利用xml解析完成依赖注入 源码
08-15
该源码只是方便java学习之用,希望大家能将编程看成一件简单,愉悦之事
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)检测与利用复现
a1b2c3是弱口令
12-09 9752
Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 漏洞搭建 可以参考: https://blog.csdn.net/qq_29647709/article/details/84892582 漏洞检测 检测工具下载 https://pan.baidu....
jdk紧急漏洞,XMLDecoder反序列化攻击
weixin_34244102的博客
12-21 264
昨天在公司发现了一个jdk中的XMLDecoder反序列化的漏洞,看起来很危险!下面通过两个示例来看看这个漏洞的危害! 示例1:利用XmlDecoder删除本地文件 首先来看这个xmldecoder.xml文件内容: <?xml version="1.0" encoding="UTF-8"?&gt...
Java代码审计中常见的漏洞(五)
武天旭的博客
03-03 1045
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 XMLDecoder注入 2 动态解析代码 3 LDAP危险条目 4 同源方法执行 5 JNDI查找地址注入 6 服务器端模板注入 7 重定向 1、XMLDecoder注入 详细信息 反序列化用户控制的XML,程序如果没有进行
(Java)XMLDecoder反序列化漏洞
Mi1k7ea
12-17 5330
基本概念 XMLDecoder用于将XMLEncoder创建的xml文档内容反序列化为一个Java对象,其位于java.beans包下。   影响版本 XMLDecoder在JDK 1.4~JDK 11中都存在反序列化漏洞安全风险。   Demo import com.sun.beans.decoder.DocumentHandler; import org.xml.sax.hel...
代码审计-XXE代码审计XML讲解
cdyunaq的博客
03-09 233
XML基础讲解 XML语法 1、第一行必须定义为文档声明 <?xml version='1.0' encoding="utf-8" ?> 2、xml文档中必须有且只有一个根标签 <?xml version='1.0' ?> <Users>//根标签 <User id='1'> <name>alex</name> </User> </Users> 3、属性值必须唯一,如id='1' 4、CDATA区:
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
m0_63138919的博客
03-14 2147
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
oracle审计日志文件太多,ORACLE for windows 审计文件xml文件过多导致数据库启动报错ORA-09925...
weixin_42463199的博客
04-03 528
ORACLE for windows数据库,在开启审计的情况下,会在audit_file_dest目录产生很多.xml碎文件。当xml文件个数达到系统文件目录所能承载的上线时,数据库就会拒绝服务,如果数据库被强制重新启动,那么数据库关闭后将无法启动。1、当xml碎文件过多达到文件目录锁能存储文件个数上限时,数据库拒绝应用链接2、虽然,从操作系统层次可以将Oracle数据库实例服务器开启到启动状态,...
xml文件怎样导入oracle_一项一项教你测等保2.0——Oracle安全审计
weixin_39599166的博客
12-07 187
一、前言信息系统只要运行,就会产生数据,产生数据就需要存储,数据库就是所有信息系统所必需的,数据是信息系统最重要的东西,所以数据库的安全就是保障数据安全的重要屏障,现在市面上有许多数据库产品,其中使用比较广泛的就是Oracle数据库,今天我们就来讲一讲等保测评2.0中对Oracle数据库有哪些安全要求。Oracle数据库二、测评项写到现在,其实等保2.0对于数据库的要求都是一样的,不同的是每个数据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值