OWASP TOP10(2017)之【XML 外部实体(XXE)】

最新推荐文章于 2024-02-24 11:55:12 发布
最新推荐文章于 2024-02-24 11:55:12 发布
阅读量343 收藏
点赞数
分类专栏: Web安全相关 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41042211/article/details/118932833
版权

目录

XML以及XXE漏洞介绍

实战

利用XXE漏洞读取文件(有回显)

①读取.ext文件

②读取php文件

利用XXE漏洞读取文件(无回显)

XXE防御策略

XXE漏洞消亡原因

XXE漏洞防御

XML以及XXE漏洞介绍

XML是指可扩展标记语言,用来传输和存储数据。XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素。XML的焦点是数据的内容,它把数据从HTML分离,是独立于软件和硬件的信息传输工具。HTML旨在显示信息,XML旨在传输和存储信息。

XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞。XXE漏洞发生在应用程序解析XML时,没有禁止外部实体的加载,导致客家在恶意外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网站,发起dos攻击等危害。 

XXE漏洞的触发点往往是可以上传XML文件的位置没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

DTD内容参考:DTD 简介 (w3school.com.cn)

实战

注)会涉及到一些php代码。靶场的配置什么的见视频吧。。。实战里面只简述XXE的实现方法 

利用XXE漏洞读取文件(有回显)

几种文件路径格式:

  • file://path/to/file.ext(读取本地文件)
  • http://url/file.ext(读取远程文件)
  • php://filter/read=convert.base64-encode/resource=conf.php(php文件需要使用base64编码来读取)

①读取.ext文件

Payload:

如下图所示,直接在请求体写入Payload。返回体里显示已经读取到相应内容。

②读取php文件

Payload:

如下图所示,直接在请求体写入Payload。返回体里显示已经读取到相应内容。

然后再将返回的内容通过base64解密即可得到php文件的内容。

利用XXE漏洞读取文件(无回显)

 本节测试原理:(服务器:192.168.1.105,攻击者server:192.168.1.103)

  1. 攻击者发送一个XML请求到服务器端(参考文件【请求XML】)
  2. 服务器端接收到攻击者的请求,去攻击者自定义的server端获取dtd校验文件(参考文件【test.dtd】)
  3. 攻击者server返回dtd文件到服务器端
  4. 服务器执行对应的XML,在服务器本地获取相应数据,然后将数据信息返回给攻击者server

 请求XML:

攻击者构建的dtd文件(test.dtd):

文件内容解析:

  1. 获取服务器本地的/etc/passwd文件,并将其保存到变量p1中
  2. 通过http请求使用con参数把p1的内容传递到对应的服务器上

注)前提是服务器存在XXE漏洞这些语句才能执行成功

XXE防御策略

XXE漏洞消亡原因

libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。

XXE漏洞防御

①使用开发语言提供的禁用外部实体的方法:

②过滤用户提交的XML数据

关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。

视频教程:2019超详细 渗透测试/黑客入门/漏洞学习视频教程

GINTOKIKAWAI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【渗透测试】OWASP TOP10
qq_48201589的博客
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
OWASP TOP 10 2019
lxy123_com的博客
03-10 747
1,A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 2,A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 3,A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据
【渗透整理】OWASP Top 10
SunnyCat
04-28 8492
补坑 找实习遇到的坑,写在这里给自己加深印象。今天给面试问蒙了,思路都不清楚,不知道自己说了个啥,让我自闭一会。。。 什么是 OWASP Top 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是...
网络安全入门必知的OWASP top 10漏洞详解
瓦罗兰特顶级C位的博客
08-04 4791
首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP TOP 10 – 终极漏洞指南(2021)
热门推荐
琦彦
09-29 3万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP 前 10 名? OWASP 前 10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
OWASP TOP10 2017思维导图
04-03
应对暑期实习笔试面试,最近整理了一些相关材料,此份思维导图权且帮助自己掌握知识。个人整理可能会有错误,请见谅。
owasp top10 2017 最新版
01-23
owasp top10 2017 最新版,包含与owasp top10 2013的对比,
OWASP Top10 2017 中文版 v1.3.pdf
05-13
4. A4:2017 XML外部实体XXE):XML解析器处理恶意构造的XML文档时,可能暴露内部系统资源或执行远程代码。 5. A5:2017 失效的访问控制:权限管理不足,允许未经授权的访问或操作。 6. A6:2017 安全配置错误:系统...
OWASP Top10 2017版发布中英文对照最新版.rar
08-01
2017版的OWASP Top 10是其中的一个里程碑,因为它提供了对当时网络安全状况的全面洞察。 以下是2017版OWASP Top 10中的十个主要安全风险,以及它们的中文翻译: 1. A1: Injection(注入攻击):包括SQL注入、OS...
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感...
OWASP Top 10 详细解读
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 1646
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
OWASP top 10简介
weixin_43155143的博客
05-19 745
前言: 关注网络安全的人都知道,OWASP Top10是每一位渗透测试人员都必须要深入了解和学习的.今天我就给大家简单聊聊.如果大家喜欢的话,后续也会给大家详细更新每一种常见漏洞的原因,场景,以及防护手段.有需要的可以点赞关注一下,免得下次找不到啦! OWASP Top10是什么? 首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公
OWASP top10 的介绍
城下深蓝的博客
11-30 1224
OWASP top10 的介绍
OWASP top10(2013-2021)
m0_56632799的博客
12-22 1293
OWASP top10
OWASP TOP 10 漏洞指南(2021)
一期一会的博客
02-11 8631
什么是OWASP TOP 10? OWASP,全称“开放式Web应用程序安全项目”是一个非营利性的组织,2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。 Top 10 总结了Web应用程序最可能、最常见、最危险的十大安全漏洞。 近几年OWASP TOP的变化 A1 失效的访问控制 概述 失效的访问控制,也叫越权,攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
OWASP top10(OWASP十大应用安全风险)之A4 XML外部实体XXE
qq_39682037的博客
03-18 2415
TOP4 XML外部实体XXEXML外部实体攻击是对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。 默认情况下,大多数XML解析器容易受到XXE攻击。因此,确保应用程序不具有此漏洞的责任主要在于开发人员。 XML外部实体攻击媒介 如果恶意行为者可以上载XML或在XML文档中包含敌对内容的脆弱的XML处理器 易受攻击的代码 ...
OWASP top 10 (2017) 学习笔记--XML外部实体XXE
01-09 356
A4:2017-XML 外部实体(XXE) 漏洞描述: 如果攻击者可以上传XML文档或者在XML文档中添加恶意内容,通过易受攻击的代码、依赖项或集成,他们就能够攻击含有缺陷的XML处理器。 漏洞影响: 攻击者可以利用XML外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。 检测场景: 以下提供几种简单的Payload模型。...
OWASPXXEXML外部实体注入)
zzhokok的博客
08-14 446
libxml版本2.9.1之前,不包含2.9.1 使用phpinfo()查看libxml的版本信息 XML文档 组成:xml声明,DTD部分,xml部分 DTD知识 XXE利用 实战-bwapp-火狐-burp
xxe漏洞的学习与利用总结
weixin_30701575的博客
07-29 2330
前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括...
owasp top10
最新发布
03-27
OWASP Top 10是由Open Web Application Security Project(OWASP)组织发布的一个关于Web应用程序安全风险的列表。它列出了当前最常见的Web应用程序安全漏洞,帮助开发人员和安全专家了解并解决这些问题。 以下是OWASP Top 10的最新版本(2021): 1. 注入(Injection):指的是攻击者通过将恶意代码注入到应用程序的输入中来执行非法操作,如SQL注入、OS命令注入等。 2. 跨站脚本(Cross-Site Scripting,XSS):攻击者通过在Web应用程序中插入恶意脚本来窃取用户信息或篡改网页内容。 3. 不安全的身份验证(Broken Authentication):指的是应用程序在用户身份验证和会话管理方面存在漏洞,如弱密码、会话劫持等。 4. 暴露的敏感数据(Sensitive Data Exposure):指的是应用程序未正确保护敏感数据,导致攻击者可以获取到用户的敏感信息。 5. XML外部实体XML External Entities,XXE):攻击者利用XML解析器的漏洞来读取本地文件、执行远程请求等操作。 6. 不安全的访问控制(Broken Access Control):指的是应用程序未正确实施访问控制机制,导致攻击者可以越权访问或修改数据。 7. 安全配置错误(Security Misconfiguration):指的是应用程序或服务器配置不当,导致安全漏洞的存在,如默认密码、错误的权限设置等。 8. 跨站请求伪造(Cross-Site Request Forgery,CSRF):攻击者通过伪造合法用户的请求来执行非法操作,如修改用户信息、发起转账等。 9. 使用已知的漏洞组件(Using Components with Known Vulnerabilities):指的是应用程序使用已知存在漏洞的第三方组件,导致攻击者可以利用这些漏洞进行攻击。 10. 不足的日志记录和监控(Insufficient Logging & Monitoring):指的是应用程序未正确记录和监控安全事件,导致无法及时发现和应对攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值