lxml库的xxe防御

最新推荐文章于 2022-03-26 21:23:46 发布
最新推荐文章于 2022-03-26 21:23:46 发布
阅读量1k 收藏
点赞数
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/81031812
版权

我最近在审计内部产品的时候发现一处有趣的代码

import lxml.objectify
jioc={}
ioco = lxml.objectify.parse(filename)
root = ioco.getroot()
jioc['short_description'] = root.short_description.__str__()

这段代码有xxe漏洞,而且

from lxml import etree
tree=etree.parse(filename)
root= tree.getroot()
for i in root.getroottree().getiterator('modelVersion'):print i.text

还有

xml='''
    <!DOCTYPE ent [
    <!ENTITY ent SYSTEM "file:///etc/passwd">
    ]>
    <b>&ent;</b>
    '''
    a=objectify.fromstring(xml)
    print a

都会造成xxe漏洞,关于xxe的问题,在官方网站中有提到https://bugs.launchpad.net/lxml/+bug/1742885,而解决方法在https://mikeknoop.com/lxml-xxe-exploit/提到

解决方案

只要把resolve_entities设置成False就可以了

from lxml import etree
parser = etree.XMLParser(resolve_entities=False)

但是这样修改之后,就会出现一些莫名奇妙的bug,于是我就按照建议把代码做了一些修改:

import lxml.objectify
from lxml import etree
filename="test.ioc"
ioco = lxml.objectify.parse(filename,etree.XMLParser(resolve_entities=False))
jioc = {'rule': '', 'member': {}, 'description': '', 'short_description': '','level':''}

root={}
for elt in ioco.getroot():
        root[etree.QName(elt.tag).localname]=elt.text

jioc['short_description'] = root['short_description']
print jioc
definition = root['definition']

这样就可以防止xxe漏洞

我的同事qinghua做了一些更不错的修改,他使用python自带的xml库,用底层语言实现功能,方便控制
他的代码: 

import sys
import os
reload(sys)
sys.setdefaultencoding("utf-8")
from xml.parsers import expat

class Element(object):
    '''analyze a element'''
    def __init__(self, name, attributes):
        #record tag and attribute dictionary
        self.name = name
        self.attributes = attributes
        #clear the element cdata and its children
        self.cdata = ''
        self.children = [ ]

    def addChild(self, element):
        self.children.append(element)

    def getAttribute(self, key):
        return self.attributes.get(key)

    def getData(self):
        return self.cdata

    def getElements(self, name = ''):
        if name:
            return [ c for c in self.children if c.name == name ]
        else:
            return list(self.children)

class Xml2Obj(object):
    '''transform XML to Object'''
    def __init__(self):
        self.root = None
        self.nodeStack = [ ]
    def StartElement(self, name, attributes):
        'Expat start element event handler'
        #make instance of class
        element = Element(name.encode(), attributes)
        #put the element into stack and make it become child_element
        if self.nodeStack:
            parent = self.nodeStack[-1]
            parent.addChild(element)
        else:
            self.root = element
        self.nodeStack.append(element)

    def EndElement(self, name):
        'Expat end element event handler'
        self.nodeStack.pop()

    def CharacterData(self, data):
        '''Expat character data event handler'''
        if data.strip():
            data = data.encode()
            element = self.nodeStack[-1]
            element.cdata += data

    def Parse(self, filename):
        #create Expat analyzer
        Parser = expat.ParserCreate()
        #Set the Expat event handlers to our methods
        Parser.StartElementHandler = self.StartElement
        Parser.EndElementHandler = self.EndElement
        Parser.CharacterDataHandler = self.CharacterData
        #analyz XML file
        ParserStatus = Parser.Parse(open(filename).read(), 1)
        return self.root

if __name__ == '__main__':
    filename='test_xml.xml'
    parser = Xml2Obj()
    root_element = parser.Parse(filename)
    print root_element.getElements()[0].cdata
    ch=root_element.getElements('properties')[0].children
    print ch[0].cdata

    ch=root_element.getElements('dependencies')[0].children
    dependency_ch= ch[0].children
    print dependency_ch[0].cdata
niexinming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python解析外部实体_XXE外部实体注入漏洞
weixin_39779975的博客
12-04 656
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫...
XXE(外部实体注入)详解
2401_82576671的博客
01-23 1972
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
XXE详解
qq_48904485的博客
03-22 5517
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 2422
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
ctfshow—XXE
cosmoslin的博客
10-24 1032
XXE XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。 XXE可导致读取任意文件,探测内网端口,攻击内网网站,发起拒绝服务攻击,执行系统命令等。Java中的XXE支持sun.net.www.p
Python程序设计:使用lxml解析页面.pptx
06-13
**Python程序设计:使用lxml解析页面** 在Python中,数据采集和网络爬虫是常见任务,而lxml是处理XML和HTML文档的强大工具。lxml因其高效、灵活的特点,在Python开发者中广受欢迎。它不仅支持XML Path ...
Python大数据之使用lxml解析html网页文件示例
09-18
lxml在处理大数据时非常有用,特别是在需要从网页中提取信息的场景。本文将详细介绍lxml的安装使用方法、HTML文档对象模型(DOM)的构建、节点操作以及如何使用XPath进行元素选择和过滤。 首先,在使用lxml之前...
XXE - 防御策略-01
09-15
* Python:使用 `lxml` 的 `etree` 模块,并将 `resolve_entities` 设为 `False`。 2. 过滤用户提交的 XML 数据 攻击者可以通过构造恶意 XML 文档来实施 XXE 攻击。因此,需要过滤用户提交的 XML 数据,检验其中...
Python3.6 lxml拓展
01-30
安装方法: pip install lxml-4.3.0-cp36-cp36m-win_amd64.whl
Python2.7 lxml拓展
01-30
安装方法: pip install lxml-4.2.6-cp27-cp27m-win_amd64.whl
ref:浅谈XXE漏洞攻击与防御
weixin_30762087的博客
05-14 480
ref:https://thief.one/2017/06/20/1/ 浅谈XXE漏洞攻击与防御 发表于2017-06-20 | 分类于web安全 | 热度3189℃ 你会挽着我的衣袖,我会把手揣进裤兜   之前在参加一场CTF竞赛中遇到了xxe漏洞,由于当时并没有研究过此漏洞,解题毫无头绪。为了弥补web安全防御知识以及减少漏洞利用短板,我翻阅了一些...
[红日安全]Web安全Day8 - XXE实战攻防
hongrisec的博客
03-03 975
本文由红日安全成员: ruanruan 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Pyt...
使用JAXB实现XML转对象导致XXE漏洞防护
路穆里奇
05-29 1324
不安全写法,存在漏洞: public static Object convertXmlToObj(Class clazz, String xmlStr)throws Exception { JAXBContext context = JAXBContext.newInstance(clazz); Unmarshaller unmarshaller = context.creat...
XXE攻击与防御
qq_56327824的博客
03-26 7019
XXE XXE是一种很常见的漏洞类型危害也挺大的,如果一个web服务器通过用户上传处理XML文件或POST请求时,那么可能就会存在漏洞。 前段时间比较出名的微信支付的xxe漏洞 漏洞简历 XXE就是XML外部实体注入,当服务器允许引用外部实体时,同过构建恶意内容来攻击网站 产生原因 解析xml文件时允许加载外部实体,并且实体的URL支持file://和PHP://等协议,没有过滤用户提交的参数 危害 读取任意文件 执行系统命令 探测内网端口 攻击内网网站 DOS攻击 … 漏洞检测 利用burp检测那些接
xxe的攻击及防御
土拨鼠挖洞中的博客
06-30 6558
xml文档的基础组成XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素; DTD实体DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。 实体又分为一般实体和参数实体1,一般实体的声明语法:&lt;!ENTITY实体名 "实...
Xml外部实体注入漏洞(XXE)与防护
热门推荐
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
XXE
frinck的博客
11-01 1197
1.XML 什么是xml,他是用来干什么的? xml(xtensible markup language),可扩展标记语言,其实就是一种传输文本的格式,他的格式和html的格式非常相似,通常是来做配置文件和存贮数据。而后来出现了json,json速度更快而被广泛使用 xml的内部实体和外部实体的格式是什么样子的 如图就是一个典型的xml文本: 格式:xml声明:<?xml...
XXE漏洞攻击与防御
weixin_30266829的博客
02-15 202
转自https://www.jianshu.com/p/7325b2ef8fc9 0x01 XML基础 在聊XXE之前,先说说相关的XML知识吧。 定义 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 文档结构 XML文档结...
初识XXE漏洞
Websec
03-22 1万+
0X01:何为XXE漏洞?XXE是指xml外部实体攻击0x02:那么xml是什么?xml实体攻击是什么?XML百度是这样子的:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言...
pycharm安装lxml
最新发布
06-11
PyCharm是一款流行的Python集成开发环境(IDE),它支持安装各种第三方,包括lxmllxml是一个高性能的XML和HTML处理,特别适合解析复杂文档。在PyCharm中安装lxml通常涉及几个步骤: 1. **打开PyCharm**: 打开PyCharm并确保你已经连接到互联网。 2. **设置Python环境**: 首先,确保你正在使用的Python解释器是支持lxml的。如果还没有,你可能需要创建一个新的虚拟环境,或者使用已有的环境。 3. **打开终端/命令行**: PyCharm通常有一个内置的终端或命令行工具,点击它。 4. **激活虚拟环境(如有)**: 如果你在一个虚拟环境中,输入 `source your_venv/bin/activate`(对于Unix/Linux系统)或 `your_venv\Scripts\activate`(Windows)来激活它。 5. **安装lxml**: 在终端或命令行中,输入以下命令来安装lxml: ``` pip install lxml ``` 6. **等待安装完成**: 这个命令会下载并安装lxml及其依赖项。安装完成后,你会看到类似 "Successfully installed lxml" 的消息。 7. **确认安装**: 在PyCharm中,打开Python文件,尝试导入`lxml`,如果无误,说明安装成功。 **相关问题:** 1. PyCharm中的终端在哪里? 2. 如何检查当前Python环境是否支持lxml? 3. 如何在PyCharm中查看已安装的列表?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值