Java代码审计——XML 外部实体注入(XXE)

最新推荐文章于 2024-08-16 17:40:16 发布
最新推荐文章于 2024-08-16 17:40:16 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: Java安全代码审计分析 文章标签: xml 安全 web安全 安全威胁分析 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61506558/article/details/128060343
版权
本文详细介绍了Java中处理XML时可能遇到的安全问题——XML外部实体注入(XXE),并逐一剖析了XMLReader、SAXBuilder等常见接口在XXE漏洞中的角色。接着,文章深入探讨了XXE漏洞的审计方法,以及如何通过安全配置来修复这些漏洞,最后进行了总结。
摘要由CSDN通过智能技术生成

目录

前言:

(一)XML 的常见接口

1.XMLReader

2.SAXBuilder

3.SAXReader

4.SAXParserFactory

5.Digester

6.DocumentBuilderFactory

(二)XXE 漏洞审计

(三)XXE 漏洞修复

(四)小结

前言:

XXE XML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE 漏洞。 XXE 漏洞可以通过 file 协议或是 FTP 协议来读取文件源码,当然也可以通过 XXE 漏洞来对内网进行探测或者功击,如图 2-96 所示。漏洞危害有:任意文件读取、内网探测、攻击内网站点、命令执行、DOS 攻击等。
了解本专栏 订阅专栏 解锁全文 超级会员免费看
@Camelus
关注
专栏目录
订阅专栏
Java代码审计XXE漏洞
大河之犬的博客
04-02 1289
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
Java代码审计——WebGoat XML外部实体注入(XXE)
m0_61506558的博客
11-16 789
在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 5849
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
dzqxwzoe的博客
05-29 1100
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
XML外部实体注入
最新发布
2201_75572825的博客
08-16 1507
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护。
xml 设值注入举例ref_XML外部实体注入
weixin_39873177的博客
11-21 317
一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD<!DOCTYPE 根元素 [元素声明]>引...
java xml 实体注入_spring框架配置实体类复杂属性注入xml文件过程详解
weixin_39603327的博客
02-16 505
spring框架是javaWeb项目中至关重要的一个框架,大多web 项目在工作层次上分为持久层、服务层、控制层。持久层(dao、mapper)用于连接数据库,完成项目与数据库中数据的传递;服务层(service)主要完成项目中各种业务(增、删、改、查),连接持久层、控制层,还和各种实体类打交道,而控制层主要和web前端页面打交道,与页面传递数据。今天,主要介绍服务层的框架spring,也是各种整...
xml实体注入代码Java_XML实体注入漏洞
weixin_32430445的博客
02-27 651
XML实体注入漏洞测试代码1:新建xmlget.php,复制下面代码漏洞测试利用方式1:有回显,直接读取文件LINUX:读取passwd文件,需URL编码后执行。windows:读取文件、也可以读取到内容D盘的文件夹,形式如:file:///d:/URL编码后可执行:http://192.168.106.208/xxe1.php?xml=%3C%3Fxml%20version%3D%221.0%...
xml实体注入代码Java_XXE-XML外部实体注入(XML External Entity)
weixin_39585463的博客
02-27 384
XXE XML外部实体注入(XML External Entity)XMLXML菜鸟教程DTD中支持单双引号,所以可以通过单双引号间隔使用作为区分嵌套实体实体之间的关系;在实际使用中,我们通常需要再嵌套一个参数实体,%号是需要处理成 % 如下:'%也可写为16进制%XXE的攻击类型XXE攻击类型描述检索文件定义包含文件内容的外部实体,并在应用程序的响应中返回的实体。SSRF攻击根据后端系统的U...
【网络安全JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1149
想要了解XXE,在那之前需要了解XML的相关基础
xml外部实体攻击
07-17
xml外部实体使用,漏洞产生原因,详细举例攻击原理,修复方法等
【burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
wangluoanquan111的博客
01-26 1113
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4668
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
XXE (XML External Entity Injection) :XML外部实体注入
weixin_33843409的博客
07-18 197
XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可禁用外部实体注入 0x02 XXE利用 简单文件读取 基于file协议的XXE攻击 XMLInject.php <?php #Enable...
XML实体注入
kendyhj9999的专栏
06-09 3734
XML实体注入漏洞安全警告 Write by admin in 未分类 at 2011-11-01 12:13:11 漏洞介绍:可扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集,非
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
热门推荐
龙哥盟
03-25 3万+
十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML外部实体。元语言是用于描述其它语言的语言,这就是 XML。它在 H
Java代码审计-XMI注入XXE
二狗的博客
02-06 1659
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
java实训笔记_Spring的xml注入
xklx_z的博客
07-16 192
简单说明了xml注入的两种方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@Camelus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值