xxe的原理及利用

最新推荐文章于 2024-03-23 10:00:27 发布
最新推荐文章于 2024-03-23 10:00:27 发布
阅读量730 收藏 8
点赞数 1
文章标签: web安全 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/123376415
版权
本文深入探讨了XXE(XML External Entity Injection)漏洞,解释了XML和外部实体注入的概念,阐述了XXE的类型,包括带内、错误基和OOB,并展示了各种利用方式,如文件读取、端口探测。同时,文章还提供了PHP、JAVA和Python等语言的防御方案,总结了如何避免和解决XXE问题。
摘要由CSDN通过智能技术生成 
零基础学黑客,搜索公众号:白帽子左一

什么是xxe

XML External Entity Injection 外部实体注入,该漏洞发生在应用程序解析XML输入时,

没有禁止外部实体的加载,导致可加载任意外部文件,造成文件读取、命令执行(有点极端)、内网端口扫描、攻击内网网站、发起dos攻击等危害。

什么是xml

一种标记语言,被设计用来传输和存储数据(html是用来显示数据):

<?xml version="1.0" encoding="UTF-8"?>
<person>
 <name>john</name>
</person>

第一行是xml文档的说明,在很多时候可以不写,其中是根元素标签,

这里注意,xml不像html一样标签都是固定的,这里可以根据需求自己定义(区分大小写),

name是子元素标签,注意标签是成对存在

所以也就造成了在xml文档中不能存在< > " '等容易影响xml解析器解析的内容。

为了解决这种状况,引入实体的概念。

实体是用于定义引用普通文本或特殊字符的快捷方式的变量,其不仅能用来存储指定数值,还可以从本地文件或者远程文件中调用相关数据作为后续实体引用

实体就类似与变量,不仅可以对其赋值,也能在文档的各个地方进行引用,实体在xml文档中的DTD部分被定义,如下

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE perion [
 <!ENTITY name "gouzi"> // 定义个实体 name 值为gozi
] >
<person>
 <name>&name;</name> //<name>gouzi</name>
</person>

DTD的作用是定义该xml文档包含哪些模块,这些模块包含了哪些内容:

<?xml version="1.0"?>
<!DOCTYPE note [
 <!ELEMENT note (to,from,heading,body)>
 <!ELEMENT to (#PCDATA)>
 <!ELEMENT from (#PCDATA)>
 <!ELEMENT heading (#PCDATA)>
 <!ELEMENT body (#PCDATA)>
]>
<note>
 <to>George</to>
 <from>John</from>
 <heading>Reminder</heading>
 <body>Don't forget the meeting!</body>
</note>

由于其中的实体部分可以加载外部实体等操作,所以在可以控制xml的地方就容易造成xxe漏洞。
实体分为三种:

1.一般实体

<!ENTITY name "gouzi">
……
<name>&name;</name>

在 DTD 中被定义,在xml 引用,调用方式为 &实体名;

2.参数实体

<!ENTITY % data "<!ENTITY % name 'gouzi'>">
%data
最低0.47元/天 解锁文章
zkzq
关注
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 2526
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
XXE原理简介、防御方案
qq_37432174的博客
11-24 6584
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
XXE原理利用与修复详解
GalaxySpaceX的博客
07-20 1326
XXE原理+利用+修复
XXE原理
weixin_48421613的博客
09-03 738
XEE漏洞 XXE(XML External Entity Injection)外部实体注入漏洞,XML在引用外部实体是时候,攻击者可以构造恶意的XML代码,以造成任意文件读取、命令执行甚至是中断服务器。 XML是一种是分流行的标记语言,他和HTML区别就是被设计用来传输、存储数据使用。 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标
XXE实体注入原理作用与具体操作
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-12 1009
XXE——实体注入 原理XXE=XML External Entity 即外部实体,即外部实体,从安全角度理解成XML External Entity attack XML 外部实体注入攻击 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 当XML允许引用外部实体时,通过构造恶意XML文档,根据建站语言使用不同的协议可导致读取任意文件内容、执行系统命令、探测内网端口、访问内网网站等危害。由于站点的建站语言不同,PHP、JA
XXE 原理漏洞详解.md
04-03
### XXE原理漏洞详解 #### 1. 什么是XXE漏洞? XML External Entity Injection(简称XXE)漏洞是指在应用程序处理XML数据时,由于未能正确禁用或限制XML外部实体的加载,使得攻击者能够通过恶意构造的XML文档注入...
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
通过学习本节内容,您将掌握XXE漏洞的基本原理利用方法,从而更好地保护自己的Web应用程序。 1. 测试代码介绍 在开始学习XXE漏洞利用之前,我们需要了解基本的测试代码。下面是一个简单的PHP测试代码: ```php ...
SCAN_XXE:利用XML XXE漏洞
05-07
在"SCAN_XXE:利用XML XXE漏洞"的主题中,我们将深入探讨这一安全威胁及其防范措施。 XML是可扩展标记语言(eXtensible Markup Language),广泛用于数据交换和配置文件。XML解析器在处理文档时,会识别并处理实体...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
**一、XXE漏洞原理** XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以...
网络安全进阶学习第二十一课——XXE
p36273的博客
11-02 1258
外部实体注入攻击。XML介绍。
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1550
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE)漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
XXE(xml外部实体攻击)
HoYim
04-11 4470
1、概念 XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
XXE攻击指什么?其攻击原理是什么?
oldboyedu1的博客
02-13 815
也就是说服务端接收和解析了来自用户端的XML数据,而又没有做严格的安全控制,从而导致XML外部实体注入,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。XXE攻击是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。XXE攻击原理是什么?
XXE详解
最新发布
qq_51780583的博客
03-23 3057
XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
XXE利用的工作原理利用方法及防御的案例讲解
白帽子凯哥聊黑客
12-15 1310
XXE(XML外部实体注入)利用是一种网络安全攻击手段,其中攻击者利用XML解析器处理外部实体的方式中的漏洞。这种攻击主要针对的是那些使用XML来处理数据的应用程序,尤其是当这些应用程序没有正确限制外部实体的处理时。通过XXE利用,攻击者可以实现各种恶意目的,包括访问服务器上的文件、发起服务器端请求伪造(SSRF)攻击,甚至可能在某些情况下导致远程代码执行。外部实体的定义和使用:利用XML解析器的行为:读取本地文件:通过定义指向本地文件系统的外部实体,攻击者可以读取服务器上的敏感文件。 服务器端请求伪造
XML 基础知识 && XXE 漏洞原理解析及实验(基础篇)
Jinmindong
02-16 1205
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
网络安全--XXE漏洞利用思路
jazzz98的博客
05-19 1886
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)
XXE是什么?XXE漏洞原理及案例讲解(从0到1完全掌握XXE
白帽黑客八哥的博客
12-14 6066
XXE(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。XML文档可以定义实体,它们是存储文档中其他地方重复使用的数据的方式。外部实体是一种特殊类型的实体,它们的内容被定义在XML文档外部。XXE漏洞发生在当应用程序解析含有外部实体引用的XML文档时,没有正确地限制或禁止这些外部实体的使用。XXE是一种严重的安全漏洞,它的存在可能导致严重的安全风险。开发人员和安全专家必须了解此类漏洞的工作原理,确保在处理XML数据时采取适当的安全措施,以保护应用程序和数据的安全
xxe漏洞原理及防御方式
05-25
XXE漏洞的原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值