Java代码审计之XXE漏洞详解

已于 2024-01-31 07:39:04 修改
阅读量106 收藏
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: java 大数据 数据库
于 2024-01-24 06:51:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/135750846
版权
本文详细介绍了XML的基础知识,特别是XXE(外部实体注入)漏洞,包括漏洞的利用方式、危害,如任意文件读取、系统命令执行等。通过案例展示了XXE的利用过程,并列举了Java代码审计中可能存在的问题。最后提出了防御XXE的策略,如禁用外部实体引入和过滤敏感关键字。
摘要由CSDN通过智能技术生成

1、XML基础

XML(eXtensible Markup Language)是一种结构性标记语言,在格式上类似于HTML。可用来标记数据,定义数据类型,传输数据。与HTML不同的是,XML的所有数据标签都没有被预定义,因此用户必须自行定义标签后才能使用。

DTD(文档类型定义,Document Type Definition)的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。

 一个XML文档包含XML声明,DTD文档类型定义及文档元素三个部分组成。

实体的分类

在XML文档中,“实体”可以被理解成变量。实体主要包括命名实体、字符实体、外部实体、参数实体。除参数实体外,其它实体都以字符(&)开始,以字符(;)结束。

1)命名实体

内部实体又称为命名实体。命名实体可以说成是变量声明,命名实体只能声明在DTD或者XML文件开始部分(<!DOCTYPE>语句中)。

命名实体(或内部实体)语法:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTY
了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
专栏目录
订阅专栏
Java代码审计XXE漏洞
大河之犬的博客
04-02 1335
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
JAVA WEB之XSS漏洞详解及防御措施
洛阳泰山的博客
09-06 2179
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
代码审计——XXE详解
Boom!脑洞大爆炸的博客
06-17 590
代码审计XXE详解
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
m0_63138919的博客
03-14 2207
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
JAVA代码审计-XSS漏洞分析
shelter1234567的博客
10-23 1211
XSS漏洞,可不仅仅是弹窗这么简单,本篇先讲一讲触发该漏洞的形式,换一期讲一讲XSS的危害究竟有多大!
java审计-XXE
admin741admin的博客
04-13 667
XML是一种非常流行的标记语言,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。而在XXE中最常见的就是通用实体和参数实体。
【网络安全】JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1166
想要了解XXE,在那之前需要了解XML的相关基础
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
Java CTF夺旗:反编译、XXE与反序列化详解】 在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXEXML External Entity)攻击、反序列化...
WebGoat8实验:XXE注入漏洞详解与利用
对于Java代码审计而言,识别和修复潜在的XXE漏洞至关重要,以确保应用程序的安全性。开发者应当限制XML解析器对外部实体的访问,采用安全的解析库,以及进行充分的输入验证和编码,以防止XXE注入。
Java代码审计之SQL注入漏洞详解
悦分享
01-23 94
​ SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。​ Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
java代码审计9之XXE
划水的小白白
08-10 494
1、简介 2、 java XXE审计函数 3、漏洞 3.1、正常的业务 3.2、有回显的情况 3.3、无回显的情况 3.4、修复
xxe漏洞php代码审计1
m0_55772907的博客
05-01 658
(1)原理 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件 (2)基础知识 XML 被设计为传输和存储数据,其焦点是数据的内容HTML 被设计用来显示数据,其焦点是数据的外观...
Java代码审计XXE漏洞
god_Zeo的安全博客
08-19 1101
0x00 前提 Java 代码审计自学:主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学篇。 0x01 XXE漏洞简介 XXEXML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等
代码审计-XXE代码审计XML讲解
cdyunaq的博客
03-09 237
XML基础讲解 XML语法 1、第一行必须定义为文档声明 <?xml version='1.0' encoding="utf-8" ?> 2、xml文档中必须有且只有一个根标签 <?xml version='1.0' ?> <Users>//根标签 <User id='1'> <name>alex</name> </User> </Users> 3、属性值必须唯一,如id='1' 4、CDATA区:
一篇文章读懂Java代码审计XXE
热门推荐
Summer's blog
05-13 1万+
前言   学习总结Java审计过程中笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
php代码审计xxe
qq_42307546的博客
06-04 615
xml
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值