owasp top10之XXE漏洞

最新推荐文章于 2024-03-29 22:06:52 发布
最新推荐文章于 2024-03-29 22:06:52 发布
阅读量739 收藏 3
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41755666/article/details/123645054
版权

XXE漏洞

  1. XML:
    • XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
  2. XXE( XML External Entity 外部实体注入,只能读服务器文件,但是执行不了系统命令):
    • XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。当运维人员使用了低版本php(php<7.0),libxml低于2.9.1或者程序员设置了libxml_disable_entity_loader(FALSE)就可以加载外部实体。;
    • 测试语句(读取C盘下面的某个文件):
      • <?xml version = "1.0"?> <!DOCTYPE ANY [     <!ENTITY f SYSTEM "file:///C://1.txt"> ]> <x>&f;</x>
      • 详解:

         

         

    • 白盒:
      • 查看代码里面是否使用了LoadXML( )函数
    • 黑盒(https://www.cnblogs.com/mysticbinary/p/12668547.html):
      • 抓包看响应体是否存在xml,accept头是否接受xml(附录:CTF xxe实战地址:http://web.jarvisoj.com:9882/ )
最低0.47元/天 解锁文章
赤赤三
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXE漏洞学习之CTF
qq_46085232的博客
04-09 448
两道有关XXE的CTF题目盲猜过程总结Vulnhub练习题过程总结 盲猜 题目地址:http://web.jarvisoj.com:9882/ 过程 访问题目地址 提交数据,进行抓包 看到数据提交这里,以为是基于json格式的sql注入,结果不是的,看页面源代码也看不出啥的,只怪自己的太菜。后来,才知道这里靠xxe漏洞,盲猜服务端能接受xml格式数据,修改Content-tpye值,并提交xml格式的playload。 修改数据包,进行提交,获取flag(这里我通过读取etc/passwd知道有hom
OWASP top 10 (2017) 学习笔记--XML外部实体(XXE
01-09 357
A4:2017-XML 外部实体(XXE) 漏洞描述: 如果攻击者可以上传XML文档或者在XML文档中添加恶意内容,通过易受攻击的代码、依赖项或集成,他们就能够攻击含有缺陷的XML处理器。 漏洞影响: 攻击者可以利用XML外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。 检测场景: 以下提供几种简单的Payload模型。...
OWASP TOP10(2017)之【XML 外部实体(XXE)】
qq_41042211的博客
07-20 343
XML以及XXE漏洞介绍 XML是指可扩展标记语言,用来传输和存储数据。XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素。XML的焦点是数据的内容,它把数据从HTML分离,是独立于软件和硬件的信息传输工具。HTML旨在显示信息,XML旨在传输和存储信息。 XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML时,没有禁止外部实体的加载,导致客家在恶意外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网
XXE漏洞知识及ctfshow例题
最新发布
2302_80044238的博客
03-29 1136
XXE全称为XML Enternal Entity Injection 中文叫xml外部实体注入简单了解XML:(xml和html的区别可以简易的理解成:xml是用来储存数据和传输数据的而html是用来将数据展现出来)XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输信息 XML 允许创作者定义自己的标签和自己的文档结构 语法:XML元素都必须有
XXE漏洞攻击——几道CTF题
qq_45521281的博客
05-14 7524
文章目录Fake XML CookbookTrue XML Cookbook(XXE+ssrf)ISCC 未知的风险-1 Fake XML Cookbook sql注入不行,F12 查看源码: function doLogin(){ var username = $("#username").val(); // val() 方法返回或设置被选元素的值 var password = $("#password").val(); // $() 相当于 document.getElementById(
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感...
Owasp Top10 漏洞笔记
08-27
Owasp Top10 漏洞笔记 安全漏洞Web 应用程序中的一个常见问题,OWASP Top 10 是一个列表,列出了 Web 应用程序中十大最常见的安全漏洞,其中包括 SQL 注入漏洞、跨站脚本攻击、跨站请求伪造、敏感数据 exposures...
owasp top10漏洞阅读感悟
03-07
自己阅读和学习一段时间后对owasp top10漏洞感悟
OWASP TOP10移动安全漏洞(安卓).pdf
02-22
OWASP TOP10移动安全漏洞(安卓)
OWASP TOP10 2017思维导图
04-03
应对暑期实习笔试面试,最近整理了一些相关材料,此份思维导图权且帮助自己掌握知识。个人整理可能会有错误,请见谅。
CTF之xxe
qq_37410729的博客
10-26 1782
xxe漏洞即我们可以进行外部实体注入,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 两个writeup 第一题: bp抓包 然后就可以进行xml注入了 这是两种xxe,我们先试第二种(因为源代码并没有标注flag在什么文件中) 然后进内网 然而并进不去,那就只能找存活主机了。 直接暴力寻找 第二题: 按照上题的思路走 但是并没有找到flag。。。。 最后只能去文件里找了,但是题目没有标明具体flag在那个文件,只能试一下/flag文
XXE漏洞及Blind XXE练习
Shinpachi8的博客
12-04 4304
XXE漏洞及Blind XXE实例。 详细说明。
OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)
weixin_43125873的博客
08-14 272
OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE) 文章目录OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)前言一、XXE是什么?二、什么情况会造成XXE三、如何预防总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、XXE是什么? XML External Entities
xml entity
Eric_Hxy的专栏
03-21 3322
entity entity翻译为"实体"。它的作用类似word中的"宏",也可以理解为DW中的摸板,你可以预先定义一个entity,然后在一个文档中多次调用,或者在多个文档中调用同一个entity。 entity可以包含字符,文字等等,使用entity的好处在于:1.它可以减少差错,文档中多个相同的部分只需要输入一遍就可以了。2.它提高维护效率。比如你有40个文档都包含copyright的en
OWASP top10OWASP十大应用安全风险)之A4 XML外部实体(XXE
qq_39682037的博客
03-18 2415
TOP4 XML外部实体(XXE) XML外部实体攻击是对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。 默认情况下,大多数XML解析器容易受到XXE攻击。因此,确保应用程序不具有此漏洞的责任主要在于开发人员。 XML外部实体攻击媒介 如果恶意行为者可以上载XML或在XML文档中包含敌对内容的脆弱的XML处理器 易受攻击的代码 ...
OWASPXXE(XML外部实体注入)
zzhokok的博客
08-14 447
libxml版本2.9.1之前,不包含2.9.1 使用phpinfo()查看libxml的版本信息 XML文档 组成:xml声明,DTD部分,xml部分 DTD知识 XXE利用 实战-bwapp-火狐-burp
XXE漏洞以及Blind XXE总结
热门推荐
Exploit的小站~
05-10 5万+
 转载请注明出处:http://blog.csdn.net/u011721501 0、前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了BlindXXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVGheader)应用比较广泛,此外,网上有一些在线XML格式...
CTF XXE漏洞攻击
夏日 の blog
05-07 3736
文章目录Fake XML CookbookTrue XML CookbookISCC 未知的风险-1参考 Fake XML Cookbook F12 查看源码: function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); if(username == "" || ...
2022 OWASP TOP10漏洞
03-14
OWASP TOP10漏洞是指Open Web Application Security Project(OWASP)组织发布的十大Web应用程序安全风险,包括注入、认证和会话管理、跨站脚本攻击(XSS)、不安全的直接对象引用、安全配置错误、敏感数据泄露、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值