XML外部实体注入(XXE)

于 2024-05-30 08:00:00 发布
阅读量553 收藏 4
点赞数 5
分类专栏: 网络安全 文章标签: xml 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaka_buka/article/details/139225790
版权

XML外部实体注入(XXE)

XML外部实体注入(XML eXternal Entity Injection,XXE)是一种针对解析XML输入的应用程序的攻击。当应用程序处理包含不受信任的外部实体引用的XML输入,并使用配置不当的XML解析器时,就可能发生这种攻击。此类攻击可能导致机密数据泄露、拒绝服务攻击(DoS)、服务器端请求伪造(SSRF)以及从解析器所在服务器进行端口扫描等一系列系统安全问题。

XXE攻击的危害

  1. 机密数据泄露:攻击者可以利用XXE攻击读取系统中的机密文件或数据。
  2. 拒绝服务攻击(DoS):攻击者可以构造恶意的XML文档,导致解析器陷入无限循环或消耗大量资源,从而造成拒绝服务。
  3. 服务器端请求伪造(SSRF):攻击者可以利用XXE攻击,让服务器发送请求到任意地址,执行端口扫描或访问内部系统。
  4. 其他系统影响:包括但不限于代码执行、数据篡改和权限提升。

防止XXE攻击的有效措施

除了通用的输入验证,还可以采用以下方式有效防止XXE攻击:

  1. 禁用XML外部实体和DTD处理:在应用程序的所有XML解析器中禁用XML外部实体和DTD处理。
  2. 实施基于“白名单”的服务器端输入验证:过滤或清理XML文档、头信息或节点中的恶意数据。
  3. 验证XML或XSL文件上传功能:使用XSD验证或类似方法对输入进行验证。
  4. 及时打补丁或升级XML处理器和库:使用依赖项检查工具,确保使用最新版本的处理器和库,并将SOAP更新到SOAP 1.2或更高版本。

Java中的防范措施示例

防止XXE的最安全方法是完全禁用DTD(外部实体)。根据不同的解析器,方法如下:

1. SAXBuilder

SAXBuilder builder = new SAXBuilder(true);
Document doc = builder.build(new InputSource());

或者:

SAXBuilder builder = new SAXBuilder();
builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
builder.setFeature("http://xml.org/sax/features/external-general-entities", false);
builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
builder.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
Document doc = builder.build(new InputSource());

2. SAXReader

SAXReader saxReader = new SAXReader();
saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false);
saxReader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
saxReader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
saxReader.read(new InputSource());

3. SAXTransformerFactory

SAXTransformerFactory sf = (SAXTransformerFactory) SAXTransformerFactory.newInstance();
sf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
sf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
StreamSource source = new StreamSource(new InputSource());
sf.newTransformerHandler(source);

4. SchemaFactory

SchemaFactory factory = SchemaFactory.newInstance("http://www.w3.org/2001/XMLSchema");
factory.setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, "");
factory.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, "");
StreamSource source = new StreamSource(new InputSource());
Schema schema = factory.newSchema(source);

5. TransformerFactory

TransformerFactory tf = TransformerFactory.newInstance();
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD, "");
tf.setAttribute(XMLConstants.ACCESS_EXTERNAL_STYLESHEET, "");
StreamSource source = new StreamSource(new InputSource());
tf.newTransformer().transform(source, new DOMResult());

6. ValidatorSample

SchemaFactory factory = SchemaFactory.newInstance("http://www.w3.org/2001/XMLSchema");
Schema schema = factory.newSchema();
Validator validator = schema.newValidator();
validator.setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, "");
validator.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, "");
StreamSource source = new StreamSource(new InputSource());
validator.validate(source);

7. XMLReader

XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
reader.parse(new InputSource(new InputSource()));

.Net中的防范措施示例

1. LINQ to XML

在默认情况下,System.Xml.Linq库中的XElement和XDocument对象不会受到XXE注入攻击,但会受到DoS攻击。为了在不同攻击类型之间提供安全保障,请参考微软关于如何防止.NET中的XXE和XML拒绝服务攻击的指南。

2. XmlDictionaryReader

System.Xml.XmlDictionaryReader在默认情况下是安全的,因为当它试图解析DTD时,编译器会抛出一个异常。但是,如果使用不同的不安全XML解析器构造,它会变得不安全。

3. XmlDocument

在.NET Framework 4.5.2版本之前,System.Xml.XmlDocument在默认情况下是不安全的。以下是确保其安全的示例:

static void LoadXML()
{
   string xxePayload = "<!DOCTYPE doc [<!ENTITY win SYSTEM 'file:///C:/Users/testdata2.txt'>]>"
                     + "<doc>&win;</doc>";
   string xml = "<?xml version='1.0' ?>" + xxePayload;
   XmlDocument xmlDoc = new XmlDocument();
   // 设置为NULL以禁用DTD - 默认情况下不是NULL
   xmlDoc.XmlResolver = null;
   xmlDoc.LoadXml(xml);
   Console.WriteLine(xmlDoc.InnerText);
   Console.ReadLine();
}

在4.5.2及以上版本中,XmlDocument的XmlResolver默认设置为空。

4. XmlNodeReader

System.Xml.XmlNodeReader对象在默认情况下是安全的,即使使用不安全的解析器构造或包装在另一个不安全的解析器中也会忽略DTD。

5. XmlReader

System.Xml.XmlReader对象在默认情况下是安全的。在.NET版本4.5.2及以后,XmlReaderSettings的XmlResolver默认设置为null,提供了额外的安全保障。

6. XmlTextReader

在.NET Framework 4.5.2版本之前,XmlTextReader默认情况下是不安全的。以下是不同版本中的安全设置方法:

a) .NET 4.0之前
XmlTextReader reader = new XmlTextReader(stream);
// 需要设置为TRUE,因为默认是FALSE
reader.ProhibitDtd = true;
b) .NET 4.0 - .NET 4.5.2
XmlTextReader reader = new XmlTextReader(stream);
// 需要设置为Prohibit,因为默认是Parse
reader.DtdProcessing = DtdProcessing.Prohibit;
c) .NET 4.5.2及以上

在4.5.2及以上版本中,XmlTextReader的XmlResolver默认设置为空。如果创建自己的非空XmlResolver并使用默认设置或不安全设置,则会变得不安全。

参考链接

  1. OWASP XXE Prevention Cheat Sheet:https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
  2. Microsoft .NET Framework Security Guidelines:https://docs.microsoft.com/en-us/dotnet/standard/security/
  3. Java Secure Coding Guidelines:https://www.oracle.com/java/technologies/javase/seccodeguide.html

在这里插入图片描述

黑风风
关注
专栏目录
Java代码审计——XML 外部实体注入XXE
m0_61506558的博客
11-27 1159
XXEXML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
WebGoat (A4) XML External Entities (XXE)
箭雨镜屋
03-15 2542
第4页 这题要求用XXE注入罗列系统根目录。 首先在上图的输入框输入个评论,比如cute,按submit提交。 到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater 从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体外部实体的内容也是可以显示在评论区的。 在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",
xml 设值注入举例ref_XML外部实体注入
weixin_39873177的博客
11-21 333
一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD<!DOCTYPE 根元素 [元素声明]>引...
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1244
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
Xml外部实体注入漏洞(XXE)与防护
热门推荐
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
xxe-xml外部实体注入
nigo134的博客
07-27 3031
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84266286的博客
05-04 597
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
XML 外部实体注入---XXE
Hi~ 土拨鼠
12-29 616
文章目录XML介绍及用途XML语法规则XML元素介绍XML DTD介绍DTD 声明类型DTD 数据类型DTD 实体介绍XML 注入XXE)产生的原理简单的XXE 漏洞代码编写file_get_contents()函数php封装协议---php://inputsimplexml_load_string()函数XML 注入回显 输出函数XXE 漏洞利用任意文件读取 XML介绍及用途 XML 被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。 XML 允许创作者定义自己
java xml 实体注入_XML外部实体注入漏洞(XXE)
weixin_35917998的博客
02-16 1187
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引...
xml实体注入代码Java_XML实体注入漏洞
weixin_32430445的博客
02-27 671
XML实体注入漏洞测试代码1:新建xmlget.php,复制下面代码漏洞测试利用方式1:有回显,直接读取文件LINUX:读取passwd文件,需URL编码后执行。windows:读取文件、也可以读取到内容D盘的文件夹,形式如:file:///d:/URL编码后可执行:http://192.168.106.208/xxe1.php?xml=%3C%3Fxml%20version%3D%221.0%...
Java代码审计——WebGoat XML外部实体注入(XXE)
m0_61506558的博客
11-16 819
在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。
XML 外部实体注入
2201_75370376的博客
06-22 1087
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
xml实体注入问题
zhou_hai_feng的博客
07-05 695
xml实体注入问题 https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXBuilder
XXE (XML External Entity Injection) :XML外部实体注入
weixin_33843409的博客
07-18 211
XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可禁用外部实体注入 0x02 XXE利用 简单文件读取 基于file协议的XXE攻击 XMLInject.php <?php #Enable...
java xml实体之间的转换(附有XXE漏洞解决方案)
lqr666的博客
01-09 1767
javaBean与xml之间相互转换(附有XXE漏洞解决方案)
【网络安全】web漏洞-xml外部实体注入(XXE)
ZL_1618的博客
01-06 1322
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
XML外部实体注入基础
qq_63928796的博客
12-06 548
xml xml的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,非常适合Web传输,而且xml有助于在服务器之间穿梭结构化数据,方便开发人员控制数据的存储和传输。 而且在配置文件里边所有的配置文件都是以XMl的格式来编写的,跨平台进行数据交互,它可以跨操作系统,也可以跨编程语言的平台,所以可以看出XML是非常方便的,应用的范围也很广,但如果存在漏洞,那危害就不言而喻了 dtd Document Type Definition文档类型定义 https://
XXEXML外部实体注入
一个普普通通的博客
04-18 934
XXE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑风风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值