网络安全之XXE漏洞

最新推荐文章于 2024-08-08 10:02:44 发布
最新推荐文章于 2024-08-08 10:02:44 发布
阅读量723 收藏 1
点赞数 2
文章标签: xml 服务器 php xxe web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52074678/article/details/124762115
版权

XXE漏洞

1.XML基础知识

eXtensible Markup Language可扩展标记语言

用途

配置文件

 

交换数据

 

XML内容

xml声明

 

XML格式要求

  • XML文档必须有根元素

  • XML文档必须有关闭标签

  • XML标签对大小写敏感

  • XML元素必须被正确的嵌套

  • XML属性必须被加引号

XML格式校验

DTD(Document Type Definition)文档类型定义

DTD内容之元素

 

元素 ELEMENT

DTD内容之实体

 

实体 ENTITY

实体ENTITY的使用

 

内部实体

 

外部实体

 

外部实体引用:协议

协议使用方法
filefile:///etc//passwd
phpphp://filter/read=convert.base64encode/resource=index.php
http页面不存在_百度搜索

不同语言支持的协议

Libxml2PHPJava.NET
file , http, ftpfile, http, ftp, php, compress.zlib, compress.bzip2, data, glob, pharfile, http, https, ftp, jar, netdoc, mailto, gopher*file, http, https,ftp

PHP扩展

 

完整的XML内容

 

XML声明部分

文档类型定义

文档元素

2.什么是XXE

 

XML外部实体注入(XML External Entity Injection)

XXE定义

如果Web应用的脚本代码没有限制XML引入外部实体,从而导致用户可以插入一个外部实体,并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。

3.XXE利用方式

<!DOCTYPE a[
<!ENTITY xxe SYSTEM "file:///C:/Windows/system.ini">
]>

盲打-http接口参数,写入文件

 

4.XXE防御

1.禁用外部实体

Java

DocumentBuilderFactory dbf
=DocumentBuilderFactory.newlnstance();
dbf.setExpandEntityReferences(false);
​

2.过滤用户提交的XML数据

'
“
"(two apostrophe)
""
<
>
]]>
]]>>
<!--/-->
/-->
-->
<!--
<!
<![CDATA[/]]>

3.WAF

以mod_security为例

渗透者:'
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
java xml 实体注入_防止 XML外部实体注入
weixin_35193765的博客
02-16 2645
方式一DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";dbf.setFea...
网络安全】什么是XXE?从0到1完全掌握XXE
HBohan的博客
04-28 5353
前置知识 XML 定义实体 XML 实体允许定义在分析 XML 文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。 XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的,他就是长得下面这个样子 <?xml version="1.0"?>//这一行是 XML 文档定义 <!DOCTYPE message [ <!ELEMENT messa
防止 XML外部实体注入
gjp014的专栏
09-18 6462
方式一 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); // 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击 String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl"; ...
web开发常见安全漏洞
qq_30653631的博客
12-09 1157
本文深入探讨了Web安全的当前状态,重点关注了几种最常见的Web安全漏洞,包括跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)、服务器端请求伪造(SSRF)和分布式拒绝服务(DDoS)攻击。
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 6701
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
xxe漏洞
jinhezhai的博客
02-16 2742
title: xxe漏洞 date: 2021-05-25 10:37:23 xxe漏洞 概述 XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从安全角度理解成XML External Entity attack 外部实体注入攻击。 基础知识拓展 xml 简介 可扩展 标记语言,标准通用标记语言的子集,简称XML。是一种用于标记电子文件使其具有结构性 的标记语言。 在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议).
网络安全进阶学习第二十一课——XXE
p36273的博客
11-02 1230
外部实体注入攻击。XML介绍。
让我们了解下DocumentBuilderFactory------------【spring源码】
YHJ
06-05 4592
DocumentBuilderFactory,它的详情在这张图片上。。。 从上面我们了解到这个包是,提供允许处理XML文档的类。而且我们分析的类是:定义工厂API,使应用程序能够从XML文档中获取生成DOM对象树的解析器。 如果不明白和应用的话,可以看下这篇文章:DocumentBuilderFactory解析XML。 至于其中比较重要的方法:newInst...
基于XXE漏洞网络安全分析与利用工具开发
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞XXE漏洞发生在应用程序解析XML输入时,...
WEB安全XXE实体注入漏洞.pdf
12-12
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储...总之,理解和防范XXE漏洞对于维护Web应用的安全至关重要。开发人员应确保正确处理XML输入,限制XML解析器的功能,并时刻关注最新的安全最佳实践。
105-web漏洞挖掘之XXE漏洞1
08-03
理解并防范XXE漏洞对于保障Web应用程序的安全至关重要,因为它们可能导致严重的信息泄露和系统破坏。通过深入理解XML实体、XML解析器的工作原理以及如何安全地处理XML输入,开发者可以更好地保护他们的应用程序免受...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
总之,XXE漏洞是一个严重的安全问题,需要开发者和安全人员重视。理解其原理、危害、检测和利用方式,以及如何修复和防御,对于保障信息系统安全至关重要。对于初学者,通过实践靶场可以更好地理解和掌握XXE漏洞的...
5、XXE漏洞pdf资料
10-15
XXEXML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的...开发人员应采取适当的安全措施,确保XML解析过程安全,以防止攻击者通过XXE漏洞获取敏感信息或执行恶意操作。
java代码审计--xxe
goddemon
09-15 264
常见关键字 Documentbuilder DocumentBuilderFactory SAXReader SAXParser SAXParserFactory SAXBuilder TransformerFactory reqXml getInputStream XMLReaderFactory .newInstance SchemaFactory SAXTransformerFactory javax.xml.bind XMLReader XmlUtils.get Validator java解析
AMF解析遇上XXE,BurpSuite也躺枪
swordheart的博客
04-27 627
0x00 来源 此文译自http://www.agarri.fr/kom/archives/2015/12/17/amf_parsing_and_xxe/index.html、http://codewhitesec.blogspot.sg/2015/08/cve-2015-3269-apache-flex-blazeds-xxe.html,并做了适当的补充。 原作者(以下的“作者”或“原作者”均表示前一篇原始博文作者)最近在把弄两个解析AMF(Action Message Format)的第三方库:Bla
Xml外部实体注入漏洞(XXE)与防护
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
DocumentBuilderFactory解析XML
懒惰的小肥肥的博客
01-05 2865
(1) javax.xml.parsers 包中的DocumentBuilderFactory用于创建DOM模式的解析器对象 , DocumentBuilderFactory是一个抽象工厂类,它不能直接实例化,但该类提供了一个newInstance方法 ,这个方法会根据本地平台默认安装的解析器,自动创建一个工厂的对象并返回。 (2) 调用 DocumentBuilderFactory.newIn
解决javax.xml.parsers.DocumentBuilderFactory.setFeature(Ljava/lang/String;Z)V异常
热门推荐
一条吃软饭的软狗
01-23 3万+
1 问题 在解决微信支付XXEXML外部实体注入漏洞)的时使用了setFeature()方法,出现了如下异常: java.lang.AbstractMethodError:javax.xml.parsers.DocumentBuilderFactory.setFeature(Ljava/lang/String;Z) 2 原因 不同jar包的多xml解析器冲突 3 解决 微信支付创建...
安卓xml乱码/加密转换:abx2xmlxml2abx使用及源码介绍
最新发布
learnframework的博客
08-08 647
转换前属于二进制乱码转化后的./system/users/0/appwidgets-read.xml变成我们常见的普通xml同样普通xml也可以转成二进制xml,转化命令然后看看./system/users/0/appwidgets-binary.xml是不是变得二进制不可读了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透者:'

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值