Xxe外部实体注入(XML External Entity Injection)_externalmetadata(1)

最新推荐文章于 2024-06-13 10:02:01 发布
最新推荐文章于 2024-06-13 10:02:01 发布
阅读量922 收藏 16
点赞数 17
分类专栏: 2024年程序员学习 文章标签: xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60634964/article/details/137513641
版权

http:用来加载远程文件
ftp:用来访问ftp服务器上的文件
php:用来读取php源码

利用方式

探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码

无回显的xxe怎么利用

(1)使用dnslog平台进行数据外带
(2)构造远程dtd文件造成文件外泄

Xxe详细防御方法

禁用外部实体

这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。

代码层禁用

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

.setFeature(“http://apache.org/xml/features/disallow-doctype-decl”,true);

.setFeature(“http://xml.org/sax/features/external-general-entities”,false)

.setFeature(“http://xml.org/sax/features/external-parameter-entities”,false);

Python:

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=

False))

使用过滤机制

在web

服务器中设置黑白名单,对用户输入的数据进行严格的限制,从而防止用户输入恶意数据,断绝产生 XXE的可能性

过滤关键词

<!DOCTYPE、<!ENTITY、SYSTEM、PUBLIC、等DTD中外部实体常用关键词 ### ****升级你的XML文档版本**** **自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。** **深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!** **因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。** ![img](https://img-blog.csdnimg.cn/img_convert/9ea1d7cd4cf9f8b0b6151ce7ac1d8d1a.png) ![img](https://img-blog.csdnimg.cn/img_convert/a0cddde4aa5c2ba61de6873de94d7c55.png) ![img](https://img-blog.csdnimg.cn/img_convert/3221c30eeb3d78daa51b2d8e2bdfc344.png) ![img](https://img-blog.csdnimg.cn/img_convert/05e48db0b5c9c414449dd1255573baa5.png) ![img](https://img-blog.csdnimg.cn/img_convert/641a8f401a9f91daf00aa9c79b25f524.png) ![img](https://img-blog.csdnimg.cn/img_convert/5255cca5970554e03ae5e6f8db427a10.png) **既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!** **由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新** **如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)** ![img](https://img-blog.csdnimg.cn/img_convert/f790ec6b54d3d45a66a28510713e8f35.png) 本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。 最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。 最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。 ![](https://img-blog.csdnimg.cn/img_convert/311903982dea1d8a5d2c98fc271b5b41.jpeg) ### 学习路线图 其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。 相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。 ![](https://img-blog.csdnimg.cn/img_convert/1ddfaf7dc5879b1120e31fafa1ad4dc7.jpeg) #### 网络安全工具箱 当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。** ![](https://img-blog.csdnimg.cn/img_convert/bcd1787ce996787388468bb227d8f959.jpeg) #### 项目实战 最后就是项目实战,这里带来的是**SRC资料&HW资料**,毕竟实战是检验真理的唯一标准嘛~ ![](https://img-blog.csdnimg.cn/img_convert/35fc46df24091ce3c9a5032a9919b755.jpeg) #### 面试题 归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过! **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!** ![img](https://img-blog.csdnimg.cn/img_convert/aaa4d863835407df0c1037eff744afd1.png) 能错过! **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!** [外链图片转存中...(img-3DGmEX3d-1712564226322)]
m0_60634964
关注
  • 17
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux curl 命令下载文件
a158640927的博客
03-29 1万+
Linux curl命令
Xxe外部实体注入XML External Entity Injection)_externalmetadata
m0_61549674的博客
04-06 800
网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码。
wget和curl下载JDK
weixin_34353714的博客
10-29 378
2019独角兽企业重金招聘Python工程师标准>>> ...
curl下载文件的命令
qq_43248623的博客
04-02 2万+
curl文件下载 curl将下载文件输出到stdout,将进度信息输出到stderr,不显示进度信息使用–silent 选项。 1 . curl URL --silent 这条命令是将下载文件输出到终端,所有下载的数据都被写入到stdout。 2 . curl URL --silent -O 使用选项 -O 将下载的数据写入到文件,必须使用文件的绝对地址。 3 . curl URL -o filename --progress #####################################
Curl【实例 01】curl下载使用及cmd实例脚本分享(通过请求下载文件)_curl 下载文件
2401_84972676的博客
05-12 489
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
2024年最全寒假学习第11天--中间件漏洞--vulhub--thinkphp全系列,2024年最新vue总结来了
2401_84545016的博客
05-05 1047
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。注意上面的第一个index是模块,第二个index是方法,name是操作名,后面的是操作。
XXE全称XML External Entity Injection漏洞.pdf
07-05
XXE全称XML External Entity Injection漏洞,是一种在应用程序解析XML输入时由于未能禁止外部实体加载而引发的安全漏洞。该漏洞可以被利用来执行文件读取、命令执行、内网端口扫描等多种攻击。 XML(eXtensible ...
XXE漏洞-XML 外部实体注入
zeroc009的博客
02-11 2759
XXE漏洞-XML 外部实体注入xxe介绍xml基础知识新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 xxe介绍 Xml外部实体注入漏洞(XML External Entity Injection)简称XXEXXE漏洞
xxe-xml外部实体注入
nigo134的博客
07-27 2978
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
通过JAXB看XML外部实体注入(XML External Entity)
aty
07-14 6675
JAXB的使用与XXE攻击的防御
Curl【实例 01】curl下载使用及cmd实例脚本分享(通过请求下载文件)
Java与大数据相关实践内容分享!
05-30 6342
curl下载使用及cmd实例脚本分享(通过请求下载文件)
使用curl命令下载文件详解及示例
最新发布
Leon_Jinhai_Sun的博客
06-13 3108
使用curl命令下载文件详解及示例
windows下curl的下载、使用方法、教程及命令简介
sunny blog
10-15 264
下载地址: [url]http://curl.haxx.se/download/curl-7.19.5-win32-nossl-sspi.zip [/url] [url=http://www.edaii.cn/curl-on-windows-methods-download-guide/127/]windows下curl的下载、使用方法、教程及命令简介[/url]...
curl 命令详解
热门推荐
Lakers2015的博客
01-10 4万+
curl 命令
linux命令:curl
soinlove36的专栏
12-07 208
curl命令是一个利用URL规则在命令行下工作的文件传输工具。它支持文件的上传和下载,所以是综合传输工具,但按传统,习惯称curl为下载工具。作为一款强力工具,curl支持包括HTTP、HTTPS、ftp等众多协议,还支持POST、cookies、认证、从指定偏移处下载部分文件、用户代理字符串、限速、文件大小、进度条等特征。做网页处理流程和数据检索自动化,curl可以助一臂之力。1、支持的协议协议DICTFILEFTPFTPSGOPHERHTTPHTTPSIMAPIMAPSLDAP。
cURL命令详解
qq_26918437的博客
03-14 9387
显示响应状态码# 显示响应 content_type# 获取更多信息见文末参考文献2效果展示:[外链图片转存中…(img-KuV2xlss-1678796995468)]# 显示响应状态码# 显示响应 content_type# 获取更多信息见文末参考文献2。
linux 命令 curl 详解
岳来的博客
11-14 1万+
linux 命令curl 详解
工具:使用curl上传或下载文件
netyeaxi的专栏
09-04 9174
使用curl上传或下载文件
curl 常用命令
qingyulee的博客
12-16 2168
linux常用curl命令
XML外部实体注入XXE)漏洞详解
XXEXML External Entity Injection)漏洞是网络安全领域的一个重要话题,它出现在应用程序处理XML输入时未能正确限制外部实体的加载。XML是一种类似于HTML的语言,允许用户自定义标签来结构化数据。而XML External...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值