XXE漏洞小结

最新推荐文章于 2024-05-31 14:45:00 发布
最新推荐文章于 2024-05-31 14:45:00 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: web开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengpeitao/article/details/82142869
版权

中午睡醒,被李老师急促的叫醒。赶紧看一下群里智深发的,看下我们支付有没有这个问题。听到这个声音,慌得一笔。
赶紧看看:
https://mp.weixin.qq.com/s?__biz=MzIyMDEzMTA2MQ==&mid=2651149767&idx=1&sn=8ccb13feeaa5f24764b20fd83e9fd869&chksm=8c214e5dbb56c74b980b111d4ced55cd94c88ab1bb84212c9d2b6fc34a8d13c0daa0ae1ba7a6&mpshare=1&scene=1&srcid=0704RRY3TDimInA44biIaNnH&rd2werd=1#wechat_redirect

看了一下,然后雨嘉也做了测试,确实有这个问题:
原因在于:
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

XXE的攻击与危害(XML External Entity)

1,何为XXE?

答: xxe也就是xml外部实体注入。也就是上文中加粗的那一部分。

2,怎样构建外部实体注入?

方式一:直接通过DTD外部实体声明
方式二:通过DTD文档引入外部DTD文档,再引入外部实体声明
方式三:通过DTD外部实体声明引入外部实体声明
好像有点拗口,其实意思就是先写一个外部实体声明,然后引用的是在攻击者服务器上面的外部实体声明
具体看例子,XML内容

3,产生哪些危害?

XXE危害1:读取任意文件
XXE危害2:执行系统命令
XXE危害3:探测内网端口
XXE危害4:攻击内网网站

如何防御xxe攻击

方案一、使用开发语言提供的禁用外部实体的方法
方案二、过滤用户提交的XML数据
关键词: 

        SAXReader reader = new SAXReader();
        // 是否包含外部生成的实体。当正在解析文档时为只读属性,未解析文档的状态下为读写
        reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
        // 是否包含外部的参数,包括外部DTD子集。当正在解析文档时为只读属性,未解析文档的状态下为读写。
        reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        Document document = reader.read(xml);

参考:
https://www.cnblogs.com/r00tuser/p/7255939.html
https://security.tencent.com/index.php/blog/msg/69

大坨-童鞋
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【Java代码审计】XXE漏洞
大河之犬的博客
04-02 1236
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 5546
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
XXE漏洞安全-全网最详细讲解】
最新发布
qq_44005305的博客
05-31 679
Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(externalentity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。其中最常见的一种攻击是利用DTD(Document Type。
SXSSFWorkbook XSSFWorkbook 我所遇到的坑大集合,希望能帮助更多的人。
热门推荐
LJHSkyWalker的博客
08-30 7万+
坑一:为什么模板中的数据获取不到? 当你企图使用SXSSFWorkbook去加载一个已存在的Excel模板时,首先你应该用XSSFWorkbook去获取它  XSSFWorkbook(java.io.File file) XSSFWorkbook(java.io.InputStream is) XSSFWorkbook(OPCPackage pkg) XSSFWorkbook(java.la...
saxreader java_SAXReader saxReader = new SAXReader();来解析xml文件
weixin_28844359的博客
02-26 368
使用SAXReader需要导入dom4j-full.jar包。dom4j是一个Java的XML API,类似于jdom,用来读写XML文件的。dom4j是一个非常非常优秀的Java XML API,具有性能优异、功能强大和极端易用使用的特点,同时它也是一个开放源代码的软件,可以在SourceForge上找到它。/** * 解析XML文件,生成 List * @param filePath-- xm...
XXE详解
qq_48904485的博客
03-22 5473
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站...
5、XXE漏洞pdf资料
10-15
5、XXE漏洞
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
XXE漏洞利用 - 任意文件读取 XXE(Xml External Entity)漏洞是一种常见的安全漏洞,特别是在Web应用程序中广泛存在。XXE漏洞是由于XML解析器对外部实体的解析不当所致,攻击者可以通过构建恶意XML文件来实现文件...
XXE漏洞
huangyongkang666的博客
03-29 2350
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
XXE漏洞详解
xcxhzjl的博客
11-18 2804
目录 一、XML基础 二、实体的分类 1、命名实体 2、字符实体 3、参数实体 4、外部实体 三、XXE漏洞 1、XXE漏洞发生在哪里 2、怎么判断网站存在XXE漏洞 3、XXE漏洞的危害 4、怎样构建XXE漏洞 5、XXE漏洞的防御 参考资料 XXE漏洞即外部实体注入攻击(XML External Entity)。 一、XML基础 XML(eXtensible Markup Language)是一种结构性标记语言,在格式上类似于HTML。可用来标记数据,定义...
XXE漏洞及防御
2301_76717406的博客
03-24 1127
&xxe;
java代码审计
qq_44256371的博客
12-06 1438
java代码审计
XXE漏洞原理--简单理解
一醉一休的博客
03-16 3571
XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据 DTD(Document Type Definition 文档类型定义) 1.DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用 2.外部实体(即
geoserver xxe漏洞
09-02
XXE漏洞是一种安全漏洞,攻击者可以利用该漏洞来读取本地或远程服务器上的文件。这种漏洞通常是由于应用程序在处理XML输入时,对外部实体的处理不当而引起的。 具体到GeoserverXXE漏洞,它可能会受到XML实体注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值