xxe注入漏洞

已于 2022-08-05 12:01:29 修改
阅读量1.2k 收藏
点赞数
分类专栏: 漏洞学习笔记 文章标签: 前端 安全 web安全 xml
于 2022-08-05 10:56:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55306747/article/details/126071016
版权

1.漏洞简述:

没有对传入的xml数据以及引用的dtd文档作安全的处理,使得xxe(xml外部实体注入)漏洞发生

2.漏洞原理:

2.1什么是xml

xml是一种自定义标记性语言(参考html),非常的自由(因为使用的标签完全由用户自定义)ps:xml中没有单标签
以下为使用的例子

<?xml version="1.0" encoding="UTF-8"?>
<form>
  <name>姓名</name>
  <id>9527</id>
  <work>杀手</work>
  <asdaa>dadadadw</asdaa> 
</form>

然后我们就可以通过标签来取用数据,不过这篇文章只是对xml简单了解一下就可以了,以后再深入。

xml常用于储存数据,相当于一个小型的数据库,一般多用于存储配置,也可以在数据包中传输

2.2什么是dtd文档

1.我们知道xml文档由xml标记语言进行编写,可以自定义标签以及属性而dtd文档的存在则是去约束这个自定义的范围,让其趋近于某个规则,使其标准化格式化,方便数据传递与处理。
2.dtd文档可以写在xml文档的开头,这样的dtd文档被成为内部声明
当然也可以通过dtd的语法引用外部dtd文档的内容,这种dtd文档的嵌入方法称为外部声明
(ps:可以类比一下html文件的css)

2.2dtd文档的作用

dtd文档可以对元素进行定义,这个定义很强大,它可以定义元素的数据类型(根据不同的数据类型有不同的解读规则,这个日后细讲)定义包含的子元素,定义元素出现的次数。此外dtd文档还可以定义属性,定义属性的默认值,属性的数据类型。

dtd文档不只是用来约束xml文档,更是对自身格式的一种描述,通过比对文档格式可以判断数据是否符合规定,同时还可以通过dtd文档对自身的数据进行检验。

2.3什么是实体

实体就是代表,就是变量,是快捷引用一段内容,快捷引用一段文本的一种方式,比如<!ENTITY qq"<">,那么qq就是<的实体,在文章中出现了&qq;就会自动替换为<,并且使用这种方式表达<等特殊符号是有好处的,那就是不会产生歧义使用这种方式表达的特殊符号只保留长相,失去其特殊含义,不会被计算机或程序识别。

还有就是刚刚举的那个例子是内部实体声明,接下来要讲的是外部实体声明。
外部实体声明的格式为<!ENTITY qq system"uri/url">会将url所代表的内容赋值给实体qq。
这会导致一定的安全隐患,如果此处的url可控的话,页面显示实体&qq;时会自动将内容替换。就可以用来读取系统文件,这就是xxe注入漏洞的由来

3.漏洞危害:

1.有回显的情况下,可以用来读取敏感文件
<?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///etc/passwd"> ]> <x>&f;</x>
2.没有回显的情况可以将读取的文件发送到攻击者的vps
3.少数情况可以执行命令,不过我不会

4.挖掘

执行操作时抓包数据,如果是以xml形式传递数据则进行进一步测试
如果可以引用外部实体声明,进行下一步
使用协议读取信息成功则存在该漏洞

4.漏洞利用

5.修复建议

禁用外部实体声明

苍树青哉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
泛微E-Cology XXE漏洞复现(QVD-2023-16177)
0xSec
07-23 5697
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
【1day】复现泛微OA e-cology XXE 漏洞——可读取任意文件
记录并分享学习安全的知识点..
07-14 2287
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
泛微最新漏洞汇总----实时更新!!!_泛微漏洞(2),系统学网络安全从零开始
最新发布
erthre的博客
04-16 569
app.name=“泛微 e-cology 9.0 OA”
XXE漏洞以及XXE漏洞如何修复
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
细节揭示:XXE漏洞复现步骤及安全防护建议
weixin_43263566的博客
08-31 257
XXE漏洞发生在那些使用XML解析器处理用户提供的XML输入的应用程序中。攻击者通过在用户输入的XML文档中插入恶意的实体引用,来触发XML解析器加载外部实体。这些外部实体可能指向本地文件系统或通过网络访问的远程资源。
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 3433
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入
Web漏洞-XXE漏洞(详细)
Ays.Ie的博客
03-11 4785
该篇描述Web漏洞-XXE漏洞(详细)
【复现】泛微-EOfficeOA信息泄露漏洞_41
fushuang333的博客
02-06 850
【复现】泛微-EOfficeOA信息泄露漏洞,未授权导致一些敏感配置信息泄露,可能造成系统危害以及重要信息泄露。
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞分析 在 Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 ...
WEB安全之XXE实体注入漏洞.pdf
12-12
WEB安全之XXE实体注入漏洞
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
java8看不到源码-Apache-OFBiz-XXE:ApacheOFBiz<16.11.04的XXE注入(文件泄露)漏洞利用
06-04
注入漏洞。 每个漏洞的公开披露可以在下面找到: [1] [2] 此漏洞利用针对链接 1 中披露的漏洞。虽然此漏洞未分配 CVE(根本原因在于过时的库),但它比链接 2 中披露的漏洞 (CVE-2018-8033) 更容易利用,后者需要...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
【0day】泛微e-office OA未授权访问漏洞学习
记录并分享学习安全的知识点..
10-17 635
泛微e-office OA是一种企业级办公自动化(Office Automation)解决方案,由中国的泛微软件(FANWEI)开发和提供。它是一套集成办公、流程管理、协同办公、知识管理等功能于一体的全面办公平台。泛微e-office OA存在未授权访问漏洞,,攻击者可以通过某种方式绕过身份验证机制,直接访问应用程序或系统的敏感资源或功能,从而获取敏感信息或进行恶意操作的一种漏洞
XXE漏洞详解(三)——XXE漏洞实际运用
永远是少年
12-23 742
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE漏洞详解(三)——XXE漏洞实际运用。 一、XXE漏洞简介 二、XXE漏洞pikachu靶场介绍 三、XXE漏洞pikachu靶场实战 (一)利用XXE漏洞读取文件 (二)利用XXE漏洞进行内网探测
万户oa漏洞复现
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-25 2195
万户oa漏洞复现:万户oa漏洞详情 /defaultroot/officeserverservlet 路径存在文件上传漏洞 万户oa漏洞复现 POST /defaultroot/officeserverservlet HTTP/1.1 Host: XXXXXXXXX:7001 Content-Length: 782 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://XXXXXXXX7001 User-Agent
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6421
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
深入浅出带你了解XML实体注入
Candour_0的博客
02-19 254
深入浅出带你了解XML实体注入
漏洞总结——XXE(XML外部实体注入
Spontaneous_0的博客
09-08 425
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
webug4.0xxe注入
07-27
XXE(XML External Entity)注入是一种攻击技术,用于利用应用程序对外部实体的处理不当。通过在用户提供的输入中插入恶意的实体引用,攻击者可以读取本地文件、执行远程请求等。针对这种注入漏洞,应用程序应该对用户输入进行严格的过滤和验证,以避免恶意实体的注入。 关于Webug 4.0的XXE注入漏洞,我不清楚具体的细节和漏洞位置。通常,修补XXE注入漏洞的方法是通过禁用外部实体的解析或限制实体解析的范围。为了更好地保护应用程序免受XXE注入攻击,您可以参考以下几点建议: 1. 输入过滤和验证:对用户输入进行严格的过滤和验证,确保只接受合法的输入。可以使用白名单过滤或正则表达式等技术来限制输入。 2. 禁用外部实体解析:在解析XML时,禁用外部实体的解析。这可以防止恶意实体的注入。 3. 限制实体解析范围:如果应用程序需要解析实体,应该限制解析的范围,只允许解析特定的实体或特定的命名空间。 4. 使用安全的XML解析器:确保使用最新版本的XML解析器,并开启安全配置选项,以防止XXE注入攻击。 请注意,以上建议仅为一般性指导,具体修补漏洞需要根据应用程序和环境的特定情况来确定。建议您在修复漏洞之前,先了解Webug 4.0的文档、漏洞报告或咨询安全专家以获取更准确的信息和解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值