XXE(xml外部实体注入)

最新推荐文章于 2024-08-02 14:16:34 发布
最新推荐文章于 2024-08-02 14:16:34 发布
阅读量2.1k 收藏 5
点赞数 1
文章标签: xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37711941/article/details/88388097
版权
本文详细介绍了XXE(XML External Entity)漏洞,包括XML基础、漏洞原理、攻击方式、防御措施等内容。攻击者利用XML解析器的外部实体引用,可能导致读取任意文件、执行系统命令等严重危害。防御措施包括禁用外部实体和过滤用户提交的XML数据。
摘要由CSDN通过智能技术生成

XXE(XML External Entity)是指xml外部实体攻击漏洞

XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

一、xml基础

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

(图片来源: 未知攻焉知防——XXE漏洞攻防.)

DTD(文档类型定义)

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。

内部声明:<!DOCTYPE 根元素 [元素声明]> 

外部声明(引用外部DTD):<!DOCTYPE 根元素 SYSTEM "文件名">
DTD实体

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

内部实体声明:<!ENTITY 实体名称 "实体的值">

外部实体声明:<!ENTITY 实体名称 SYSTEM "URI">

二、漏洞原理

XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。

在这里插入图片描述

(图片来源: What is XML External Entity (XXE)?.)

三、攻击方式

xml外部实体注入,需要引入外部实体,方式有很多种。此处我们使用vuln漏洞环境中的php_xxe进行演示:
运行环境:
php 7.0.30
libxml 2.8.0
1、读取任意文件
(1)使用file协议
payload:
<?xml version="1.0" encoding
最低0.47元/天 解锁文章
崔崔是我
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
这篇文章主要讨论了CVE-2020-29436,这是一个针对Nexus Repository Manager 3的安全漏洞,该漏洞是由于XML外部实体注入XXE)引起的。Nexus Repository Manager 3是一款广泛使用的软件包仓库管理服务,它允许组织...
XXE XML外部实体注入
探测???
11-09 498
是一种 XML 注入攻击,它利用了 XML 解析器在处理 XML 文档时存在的漏洞。攻击者通过在 XML 文档中插入外部实体的引用,可以引导 XML 解析器读取攻击者控制的外部文件,进而获取敏感信息或执行恶意代码。XML DTD(文档类型定义)是一种定义XML文档结构的规范,它为XML文档提供了一种语法规则,规定了文档中所使用的元素、实体、元素的属性、元素与实体之间的关系。xml!!!ELEMENT。
XXE xml外部实体注入
weixin_45605313的博客
04-27 320
XML基础: 可扩展标记语言,用于传输数据(允许作者自定义自己的标签,和文档结构) 构建模块: 元素,属性,实体 PCDATA:被解析的字符数据 CDATA:字符数据(不会被解析器解析) 语法规则: 1.所有xml 元素必须有关闭标签 2.xml 标签对大小写敏感 3.xml 必须正确嵌套 4.xml 属性必须加引号 5.实体引用 6.空格会被保留 XML元素: 指从开始标签到结束标签的部分 每个...
34-XXEXML外部实体注入
XLbb的博客
05-19 915
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
XXE-XML外部实体注入 漏洞详解
m0_69043895的博客
04-14 1269
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
【burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
01-11 8087
【BP靶场portswigger-服务端10-XML外部实体注入XXE注入)】9个实验-万文详细步骤
xxe XML外部实体注入
weixin_33714884的博客
10-19 103
xml,允许我们存储和传输数据。也提供了DTD,允许我们进行文档类型定义,外部DTD,定义的实体可以窃取服务器信息,上传至指定的服务器上。 接下来,就模拟一下:xxe,窃取信息服务器信息,上传至指定服务器。 1.编写接收接口:    @RequestMapping("evil/{content}") @ResponseBody public void ev...
XML外部实体注入(XXE)
常备不懈
05-30 345
XML外部实体注入XML eXternal Entity Injection,XXE)是一种针对解析XML输入的应用程序的攻击。当应用程序处理包含不受信任的外部实体引用的XML输入,并使用配置不当的XML解析器时,就可能发生这种攻击。此类攻击可能导致机密数据泄露、拒绝服务攻击(DoS)、服务器端请求伪造(SSRF)以及从解析器所在服务器进行端口扫描等一系列系统安全问题。
xxe-xml外部实体注入
nigo134的博客
07-27 2928
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1289
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其中,DTD需要在!DOCTYPE注释中定义根元素,而后在中括号的[]内使用!ELEMENT注 释定义各元素特征。
XXEXML外部实体注入)详解
一期一会的博客
01-22 5208
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
测试XXE注入.docx
09-06
XXE 注入XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
Android渠道包配置不同AndroidManifest.xml
wolf0706的专栏
08-02 118
开发中不同的渠道包需要使用不同的AndroidManifest.xml,比如Flavor1 需要添加android:sharedUserId="android.uid.system"配置,可以新建一个AndroidManifest_system.xml。Flavor1 渠道打包会融合AndroidManifest.xml和AndroidManifest_system.xml两个配置文件。
XMLDecoder反序列化
2301_79724395的博客
08-02 239
因为比较简单,自己也没有去复现一下怎么的,也没有去调试,其实调试就是调试对标签的解析过程参考https://www.freebuf.com/articles/web/321222.html的解析过程参考https://www.freebuf.com/articles/web/321222.html图片都是用的这个链接的。
前端跨域问题解决Access to XMLHttpRequest at xxx from has been blocked by CORS policy
最新发布
qq_44021627的博客
08-02 223
这是由于所有使用JavaScript的浏览器都会支持同源策略。只要有一个不同,就会当作跨域请求。此时还有浏览器同源策略的保护,是防止不同源(域、协议或端口)的网页之间进行恶意操作。所以综上,前端后端处在不同的域时就会报该错误。在一些前后端不同源的项目中,前端向后端发起请求时,有时候无法正常向后端请求到服务,F12查看控制台会发现报错。然后找到请求页面,在axios的请求接口里面只写。然后找到请求页面,在axios的请求接口里面只写。如果使用vue-cli脚手架创建的项目,找到。举个例子,如果请求接口为。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值