[ 代码审计篇 ] 代码审计案例详解(二) XXE代码审计案例

最新推荐文章于 2024-05-09 08:00:00 发布
最新推荐文章于 2024-05-09 08:00:00 发布
阅读量954 收藏 142
点赞数 61
分类专栏: 代码审计 入门到精通 文章标签: 代码审计案例 XXE代码审计 fortify XXE修复 Java代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/128470411
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、什么是 XXE 漏洞?

1、XXE 简介

XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程 序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。 这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

2、XML结构介绍

要了解XXE漏洞,那么一定要先学习一下有关XML的基础知识。
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

1.第一部分:声明

主要会定义一些版本,编码之类的东西。

2.第二部分:DTD(文档类型定义)

也就是他的文档类型定义,形成漏洞部分。
可以定义很多的实体内容,实体内容会对后面整个XML的文档去做一个对应的约束。

DTD格式如下:

第一个是内部声明
<!DOCTVYPE 根元素 [元素声明]>
第二个是外部实体(我们这次漏洞用的)
<!DOCTVYPE 根元素名称 SYSTEM "外部DTD的URI"
第三个是public类型的
<!DOCTVYPE 根元素名称 PUBLIC "DTD标识名" "公用DTD的URI">

3.第三部分:文档的元素

也就是他的正文,在这个里面会通过一下标签去定义一些key和value属性跟值,这样的一些东西。

二、案例讲解

1、环境搭建

1.准备 vulns.war 包

下载连接在文末给出
把 vulns.war 包放入tomcat webapps 目录下

在这里插入图片描述

2.启动 tomcat

下载连接在文末给出
进入 tomcat bin 目录,管理员身份运行 startup.bat 文件启动 tomcat 。
Tomcat 启动默认会将 webapps 目录下所有的 war 包解析一遍。

在这里插入图片描述
在这里插入图片描述

3.查看环境目录

回到我们 webapps 目录下,发现多了一个 vulns 目录。这就是 tomcat 解析 war 包生成的。

在这里插入图片描述

4.访问环境

http://localhost:8080/vulns/

在这里插入图片描述
在这里插入图片描述

2、工具扫描

使用 fortify 扫描,发现源代码中存在一个XXE漏洞

在这里插入图片描述

3、漏洞复现

1.获取文件

http://localhost:8080/vulns/007-xxe.jsp?data=%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22ISO-8859-1%22%3F%3E%3C%21DOCTYPE%20foo%20%5B%20%20%20%3C%21ELEMENT%20foo%20ANY%20%3E%20%20%3C%21ENTITY%20xxe%20SYSTEM%20%22file%3A%2F%2F%2Fc%3A%2Fwindows%2Fwin.ini%22%20%3E%5D%3E%3Cfoo%3E%26xxe%3B%3C%2Ffoo%3E

在这里插入图片描述

2.解释payload

我们解码一下payload
在这里插入图片描述

<?xml version="1.0" encoding="ISO-8859-1"?>	

<!DOCTYPE foo [ 
<!ELEMENT foo ANY > 
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >]>

<foo>&xxe;</foo>

此处将本地计算机中 file:///c:/windows/win.ini 文件的内容取出,赋值给了实体 xxe
然后实体 xxe 的值作为元素 foo 中的字符串数据被解析的时候取出,作为对象里的内容然后再输出该对象的时候被打印出来。

4、漏洞修复

1.XXE怎么防御的?

1.禁用外部实体
2.过滤用户提交的XML数据 
过滤关键词:!ENTITY,或者SYSTEM和PUBLI 
3.使用第三方应用代码及时升级

2.禁用外部实体进行防御

我们就直接禁用外部实体来演示一下防御,使用开发语言提供的禁用外部实体的方法

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 
dbf.setExpandEntityReferences(false);

我们打开环境源代码

在这里插入图片描述

在如下位置添加一行

docFactory.setExpandEntityReferences(false);

保存

在这里插入图片描述

3.修复成功

打开漏洞环境,在验证XXE是不是存在。

http://localhost:8080/vulns/007-xxe.jsp?data=%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22ISO-8859-1%22%3F%3E%3C%21DOCTYPE%20foo%20%5B%20%20%20%3C%21ELEMENT%20foo%20ANY%20%3E%20%20%3C%21ENTITY%20xxe%20SYSTEM%20%22file%3A%2F%2F%2Fc%3A%2Fwindows%2Fwin.ini%22%20%3E%5D%3E%3Cfoo%3E%26xxe%3B%3C%2Ffoo%3E

发现漏洞已经不存在了,我们刚刚的修复是有效的。

在这里插入图片描述

四、相关资源

1、vulns.war包下载链接
2、Tomcat下载链接
3、[ 代码审计篇 ] Fortify 安装及使用详解(一)
4、[ 代码审计篇 ] 代码审计案例详解(一) SQL注入代码审计案例

_PowerShell
关注
  • 61
    点赞
  • 142
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 14
    评论
专栏目录
[ 代码审计 ] 通达OA审计文档.pdf
02-11
[ 代码审计 ] 通达OA审计文档.pdf
Java代码审计」华夏ERP3.0代码审计
橙留香Park的博客
09-22 3451
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ..
代码审计-PHP模型开发&MVC层&动态调试未授权&脆弱鉴权&未引用&错误逻辑
最新发布
siu~
05-09 327
1、PHP审计-动态调试-未授权安全 2、PHP审计-文件对比-未授权安全 3、PHP审计-未授权访问-三种形态
一次代码审计实战案例【思路流程】
m0_59598029的博客
02-21 337
1、一些敏感业务不要轻易放到公网服务器上,放上一定要做好安全。2、在溯源分析时,遇到傀儡机可以考虑下蹭马利用的方式。3、数据库密码哈希值获取,搜寻敏感信息。4、社工查询:谷歌搜索、QQ资料、细心关联分析。
代码审计示例
arissa666的博客
10-26 595
代码安全测试是从安全的角度对代码进行的安全测试评估。结合丰富的安全知识、、测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全,在代码形成软件产品前将业务软件的安全风险降到最低。方法:人工审核:代码在框架上的缺陷。既能解决内部问题也能解决外部问题。这也是目前最有效率的解决方案,并且在理论上手工代码审核是非常有效的,但人工审核的效率不高,所以我们会采用自动化分析工具辅助人工的方式来提高审核效率。静态分析:通过一组全面规则、测试机制和方针在软件开发过程、测试中发现软件的安全缺陷。
玩转CodeQLpy之代码审计实战案例
A_991128a的博客
08-28 463
CodeQLpy是一款半自动化的代码审计工具,能有效提高代码审计的效率,目前项目仍处于测试阶段。项目地址https://github.com/webraybtl/CodeQLpy,在github主页有对应的安装和使用介绍,如图1.1所示。-t: 指定待扫描的源码路径。支持文件夹,jar包和war包,如果是文件夹,则必须是网站跟目录。-d: 指定待扫描的CodeQL数据库。-c: 指定待扫描的源码是编译前源码还是编译后源码。
代码审计思路&案例
guanjian_ci的博客
02-23 2471
前言 代码审计(Code Audit)顾名思义就是通过阅读源代码,从中找出程序源代码中存在的 缺陷或安全隐患,提前发现并解决风险,这在甲方的SDL建设中是很重要的一环。而在渗透测试中,可以通过代码审计挖掘程序漏洞,快速利用漏洞进行攻击达成目标。 审计思路 常见的审计思路有: 1.寻找敏感功能点,通读功能点代码; 优点: 精准定向挖掘,利用程度高; 缺点:命名不规范的代码容易被忽略,导致失去先机。 2.根据敏感关键字回溯参数传递过程; 优点:通过搜索敏感关键字可快速定位...
php代码审计xxe
qq_42307546的博客
06-04 570
xml
代码审计思路详解
Ciyaso的博客
04-30 6962
代码审计概念 代码审计定义 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 代码审计对象 php,java,C/C++,C#,jsp,asp,net等等 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7f2PGUd-1619771792539)(C:\Users\ASUS\App
[ 代码审计资源 ] vulns.war 包
12-28
[ 代码审计资源 ] vulns.war 包 [ 代码审计 ] 代码审计案例详解中讲到的知识点最好还是自己搭建环境实践一下。 详情可以看我的文章:[ 代码审计 ] 代码审计案例详解
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞分析 在 Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 ...
PHP代码审计入门指南1
08-04
【PHP代码审计入门指南1】是一本针对初学者的PHP代码审计教程,旨在帮助读者理解和掌握PHP代码审计的基础知识和技巧。本指南不仅涵盖了代码审计的要点,还讲解了漏洞产生的原理和防御方法,旨在提升读者对Web安全的...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md ...
[ 代码审计 ] 代码审计案例详解(一) SQL注入代码审计案例
qq_51577576的博客
12-26 1662
[ 代码审计 ] 代码审计案例详解(一) SQL注入代码审计案例 是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程 序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以 此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
php代码审计工具_【学习笔记】PHP代码审计入门:代码审计实例1
weixin_39976748的博客
12-06 185
第34课代码审计实战之SQL注入漏洞课程入口(付费)个人背景李,本科,电子信息工程专业,毕业一年半,有JavaScript的,PHP,Python的语言基础,目前自学网络安全中。代码审计实战之SQL注入漏洞现代开发框架对数据库操作的封装当今主流的框架中,基本上都会对数据库的操作做一层封装, 上面的代码中使用了参数绑定,在sql语句中出现了 :name 这个...
代码审计】代码安全测试的方法
WLANQY的博客
01-06 994
采用漏洞植入法时,先让不参加安全测试的特定人员在软件中预先植入一定数量的漏洞,最后测试完后看有多少植入的漏洞被发现,以此来评估软件的安全性测试做得是否充分。静态的源代码安全测试是非常有用的方法,它可以在编码阶段找出所有可能存在安全风险的代码,这样开发人员可以在早期解决潜在的安全问题。因此,对安全性要求较低的软件,一般按反向测试过程来测试即可,对于安全性要求较高的软件,应以正向测试过程为主,反向测试过程为辅。一般从以下两个方面进行评估。这种测试的特点就是真实有效,一般找出来的问题都是正确的,也是较为严重的。
安全测试-优秀测试工程师必备的4项安全测试方法!
weixin_34417814的博客
04-30 5343
用您5分钟时间阅读完,希望能对您有帮助! 一.安全性测试 1、安全性测试方法 测试手段可以进行安全性测试,目前主要安全测试方法有:    1)静态的代码安全测试 主要通过对源代码进行安全扫描,根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞。 静态的源代码安全测试是非常有用的方法,它可以在编码阶段找出所...
Web安全工程师面试(SQL、XSS、CSRF、SSRF、XXE
Hardworking666的博客
12-21 4010
文章目录一、Web基础、SQL注入漏洞三、XSS跨站脚本漏洞1、反射型XSS漏洞原理2、存储型XSS漏洞原理3、基于DOM的XSS四、CSRF跨站请求伪造漏洞 一、Web基础 一次Web访问过程分析:DNS域名解析、TCP连接、HTTP请求、处理请求返回HTTP响应、页面渲染和关闭连接。 、SQL注入漏洞 SQL注入漏洞是指, 攻击者能够利用现有Web应用程序,将恶意的数据插入SQL查询中,提交到后台数据库引擎执行非授权操作。 SQL注入漏洞的主要危害如下。 1 非法查询、修改或删除数据库资源。..
Java代码审计XXE漏洞
god_Zeo的安全博客
08-19 1053
0x00 前提 Java 代码审计自学:主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学。 0x01 XXE漏洞简介 XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等
java xxe代码审计方法
05-18
Java XXE(XML External Entity)漏洞是一种常见的Web漏洞,攻击者可以利用它来读取本地文件、发起远程请求等。对于Java应用程序,XXE漏洞通常出现在处理XML输入时,因此在对Java代码进行审计时,需要关注与XML相关的代码。 以下是一些可能的Java XXE代码审计方法: 1. 检查XML解析器配置:在Java中,XML解析器可以通过不同的方式进行配置,如使用JAXP(Java API for XML Processing)或SAX(Simple API for XML)。检查解析器的配置是否允许外部实体、是否设置了解析器属性以防止XXE攻击等。 2. 检查XML输入处理:检查代码中是否使用了不安全的XML输入处理方法,如DocumentBuilderFactory、SAXParser等,是否使用了不安全的XML处理API,如Xerces、dom4j等。同时,还要注意代码中是否对输入进行了充分的验证和过滤,以防止攻击者利用XXE漏洞进行注入攻击。 3. 检查文件读取操作:在Java中,攻击者可以通过XXE漏洞读取本地文件,因此需要注意代码中是否存在不安全的文件读取操作,如FileReader、FileInputStream等。同时,还要注意代码中是否对读取文件的路径进行了充分的验证和过滤,以防止攻击者读取敏感文件。 4. 检查网络请求操作:攻击者可以通过XXE漏洞发起网络请求,因此需要注意代码中是否存在不安全的网络请求操作,如URLConnection、HttpClient等。同时,还要注意代码中是否对请求的URL进行了充分的验证和过滤,以防止攻击者发起恶意请求。 总之,在Java代码审计中,需要重点关注与XML相关的代码,并进行充分的验证和过滤,以防止XXE漏洞等Web漏洞的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值