OWASP top10(OWASP十大应用安全风险)之A4 XML外部实体(XXE)

最新推荐文章于 2024-01-17 16:35:43 发布
最新推荐文章于 2024-01-17 16:35:43 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: OWASP 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39682037/article/details/104865869
版权

TOP4 XML外部实体(XXE)

XML外部实体攻击是对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。
默认情况下,大多数XML解析器容易受到XXE攻击。因此,确保应用程序不具有此漏洞的责任主要在于开发人员。

XML外部实体攻击媒介

  • 如果恶意行为者可以上载XML或在XML文档中包含敌对内容的脆弱的XML处理器
  • 易受攻击的代码
  • 脆弱的依赖
  • 脆弱的整合

那我们又该如何防止呢?

  • 尽可能使用不太复杂的数据格式(例如JSON),并避免对敏感数据进行序列化。
  • 修补或升级应用程序或基础操作系统上正在使用的所有XML处理器和库。
  • 使用依赖性检查器(将SOAP更新为SOAP 1.2或更高版本)。
  • 根据OWASP备忘单“ XXE预防”,在应用程序的所有XML解析器中禁用XML外部实体和DTD处理。
  • 在服务器端实施肯定的(“白名单”)输入验证,过滤或清理操作,以防止XML文档,标头或节点内的敌对数据。
  • 验证XML或XSL文件上传功能是否使用XSD验证或类似方法验证传入的XML。
  • SAST工具可以帮助检测源代码中的XXE-尽管手动代码检查是具有许多集成的大型复杂应用程序的最佳选择。

千万小心使用以下措施!!!

  1. 虚拟补丁
  2. API安全网关
  3. Web应用程序防火墙(WAF)
qq_39682037
关注
专栏目录
OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)
weixin_43125873的博客
08-14 403
OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE) 文章目录OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)前言一、XXE是什么?二、什么情况会造成XXE三、如何预防总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、XXE是什么? XML External Entities
探针漏洞_【安全风险通告】WebSphere Application Server XXE漏洞安全风险通告
weixin_39640090的博客
01-05 553
2020年9月22日,奇安信CERT监测到WebSphere Application Server被曝存在XXE漏洞,IBM WebSphere Application Server在处理XML数据时,容易受到XML外部实体注入(XXE)攻击,远程攻击者可以利用此漏洞来窃取敏感信息。鉴于漏洞危害较大,建议客户升级到最新版本。奇安信 CERT漏洞描述WebSphere Applicatio...
OWASP top 10 (2017) 学习笔记--XML外部实体XXE
01-09 368
A4:2017-XML 外部实体(XXE) 漏洞描述: 如果攻击者可以上传XML文档或者在XML文档中添加恶意内容,通过易受攻击的代码、依赖项或集成,他们就能够攻击含有缺陷的XML处理器。 漏洞影响: 攻击者可以利用XML外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。 检测场景: 以下提供几种简单的Payload模型。...
OWASP A4 使用已知漏洞的插件
ID33Dhy的博客
09-16 234
参考链接:https://www.cnblogs.com/wjw-zm/p/11802615.html 一.常见中间件 1、中间件是一类连接软件组件和应用的计算机软件,它包括一组服务。以便于运行在一台或多台机器上的多个软件通过网络进行交互。该技术所提供的互操作性,推动了一致分布式体系架构的演进,该架构通常用于支持并简化那些复杂的分布式应用程序,它包括web服务器、事务监控器和消息队列软件。 2、中间件(middleware)是基础软件的一大类,属于可复用软件的范畴。顾名思义,中间件处于操作系统软件与用户的应
常见的xml实体解析导致的安全风险有哪些_软件源码安全攻防之道(下)
weixin_39811166的博客
11-02 3309
点击“蓝字”关注我们吧上次咱们讲完了源码安全漏洞利用常见的几个姿势,本文接着来对对应的防御技术进行说明。改一个漏洞一般会比较简单,但是如何通过安全编程来避免一类某种类型的漏洞出现就会比较麻烦。其实,防御的原则相对比较好总结,主要就一个字“控”:控输入、控过程、控输出。“控”字做好了,防御也就可以随之构建起来。●源码安全漏洞的防守之道●01把好入口关,输入严校验这里的输入是相对的,取决于...
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
01-11
4. A4: 2017-XML外部实体XXE):XXE攻击利用了应用程序XML数据的处理缺陷,攻击者可以读取文件、执行远程请求等。 5. A5: 2017-失效的访问控制(Broken Access Control):当访问控制未能正确实施时,攻击者就...
owasp top10 2017 最新版
01-23
A4: XML外部实体XXEXXE攻击发生在应用程序解析XML输入时,攻击者可利用未被适当限制的XML解析器插入恶意的XML实体。为了防止这种攻击,建议禁用XML解析器加载外部实体,并应用严格的XML输入验证。 A5: 失效的...
阐述OWASP TOP10的演变过程
qq_53255576的博客
03-16 205
目前越来越多的网上业务都依赖Web系统,因此很多恶意攻击者会对Web服务器进行攻击,Web业务平台成为了黑客攻击的重点目标,为了防止黑客的攻击,除了对Web服务器做相应的加固配置外,Web应用程序的设计和开发也需要杜绝黑客攻击隐患。A06:2021—自带缺陷和过时的组件。A10:2017—不足的日志记录和监控。A09:2021—安全日志和监控故障。A08:2017—不安全的反序列化。A01:2021—失效的访问控制。A02:2017—失效的身份认证。A05:2017—失效的访问控制。
OWASP TOP相关知识及发展历程
weixin_53221940的博客
12-27 802
OWASP TOP 10是OWASP在2004,2007,2010,2013,2017,2021年更新发布的Web应用程序最可能、最常见、最危险的十大漏洞,其中包含注入漏洞,敏感数据泄露,失效的身份认证,跨站脚本攻击,外部实体攻击,安全配置错误,失效的访问控制,不安全的反序列化,使用含有已知漏洞的组件,不足的日志记录与监控,这十点漏洞,每次发布都会产生不同的排序,而2021年最新发布的前10排名sql注入漏洞位列第一,应用软件安全趋势也逐渐向注入靠拢。不安全的反序列化漏洞通常会导致远程代码执行问题。
OWASPXXEXML外部实体注入)
zzhokok的博客
08-14 462
libxml版本2.9.1之前,不包含2.9.1 使用phpinfo()查看libxml的版本信息 XML文档 组成:xml声明,DTD部分,xml部分 DTD知识 XXE利用 实战-bwapp-火狐-burp
OWASP Mutillidae II 漏洞靶场实验指导书.pdf
11-20
OWASP Mutillidae II 漏洞靶场实验指导书汇总 OWASP Top 10 应用安全风险-2017 OWASP (Open Web Application Security Project)开放式 Web 应用程序 安全项目,是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有 成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP TOP 10(七)XXE漏洞(XML基本语法、DTD(声明类型、数据类型、实体)、XXE漏洞原理、PHP相关函数、XML注入读取文件、漏洞防御)
Pluto.的博客
12-27 743
文章目录XML学习一、XML概述1. 简述2. XML和HTML的区别二、基本语法规则三、DTD1. 概述2. 声明类型- 内部的 DOCTYPE 声明- 外部文档声明3. 数据类型- PCDATA- CDATA4. 实体- 内部实体声明- 外部实体声明四、XEE1. 漏洞原理2. PHP相关函数- file_get_contents()- php://input- simplexml_load_string()3. XML注入回显 输出函数 XML学习 一、XML概述 1. 简述 XML 指可扩展标记语言
XML外部实体漏洞 (XXE)简介
allway2的博客
07-27 1247
例如,假设您的应用程序必须从他们的系统中获取用户的操作系统详细信息。例如,他们可以禁用服务器上的防火墙,这将有助于他们发起其他攻击。因此,在这篇博客中,我将解释什么是XXE,以及如何保护您的应用程序免受这种风险的影响。这样做的一部分是为了了解常见的漏洞。如果您有一个使用XML的Web应用程序,那么保护它对您来说很重要。考虑到XXE漏洞可能对您的服务器造成的损害,您不能冒险。因此,黑客可以使用XML外部实体功能修改请求并获取该文件的详细信息。的功能,其中包含有关XML文档结构的信息。...
安全服务/渗透测试工程师_面试题之OWASP TOP 10
10-27 3958
思考了很长时间,最近一直在准备安全服务工程师的面试题,说到底还是自己学的不够扎实,理解的不够深刻,想到CSDN可以写笔记,还能跟大家一同分享,就渐渐的喜欢上了这里。 自我介绍 首先肯定是一段必不可少的自我介绍,时间大约为 3 min。 这一段必须要好好打磨,不可马虎,意简言赅(gai)。 正文 OWASP TOP 10 2020有哪些? 注入 跨站脚本攻击(XSS) 失效身份验证和会话管理 敏感信息泄露 XML外部实体注入攻击(XXE) 存储控制中断 安全性错误配置 不安全的反序列化 日志记录和监控不足
自学网络安全(白帽黑客)必看!OWASP十大漏洞解析!
最新发布
libaiup的博客
01-17 1514
OWASP(开放式web应用程序安全项目)关注web应用程序安全OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的建议。(另外,OWASP还有一些辅助项目和指南来帮助IT公司和开发团队来规范应用程序开发流程和测试流程,提高web产品的安全性。这个"十大"差不多每隔三年更新一次。攻击者可以通过应用程序中许多不同的路径方法去危害您的业务或者企业组织。
XML外部实体注入漏洞- XXE
weixin_40230278的博客
08-05 872
XML外部实体注入漏洞- XXE 概览: 实验内容 影响版本: 漏洞介绍 实验结果分析与总结 修复方案 实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞的修复。 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全外部实体...
XXE漏洞及Blind XXE练习
Shinpachi8的博客
12-04 4324
XXE漏洞及Blind XXE实例。 详细说明。
DVWA漏洞测试---Low级别的b密码爆破
qq_43592364的博客
04-21 1048
首先登陆DVWA的平台,选择DVWA Security模块,将安全级别调整为Low级别 这里一定要记得,因为默认设置为impossible级别,无法使用暴力破解 点击Brute Force模块,输入用户名和密码点击Login发起请求,同时使用burpsuite抓包 抓包后进入intruder爆破的模块,选择好目标,设置好攻击方式,点击attack开始攻击 注意:需要将目标一和目标二都选好...
owasp top 10 渗透防御思路总结
LDF-Dicky的博客
03-19 6001
一、文件上传漏洞:防御:前端后台代码可以限制文件上传的后缀和大小,比如后台限制contenttype:plaint(mime)或后缀.txt   contentconposition(终极杀招:modsecurity:防止暴力破解,D盾Web查杀:网站后门查找工具、杀webshell,安全狗:云查杀,阿里云盾:WAF),最小权限运行Web服务,读写权限分离攻击:前端的可以通过burpsuite、f...
OWASP TOP10 2010:Web安全关键风险解析
"OWASP TOP10 2010WEB安全(中文版) - 描述了2010年OWASP发布的Web应用程序安全十大关键风险,包括风险的命名变化、评估方法以及新增和替换的风险类别。" OWASP TOP10 2010是一个重要的网络安全参考列表,由开放式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值