XXE-XML外部实体注入

已于 2024-08-30 00:23:23 修改
阅读量389 收藏 8
点赞数 3
分类专栏: web安全 文章标签: xml
于 2024-08-23 20:11:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64177395/article/details/141462973
版权

XXE定义

如果Web应用的脚本代码没有限制XML引入外部实体,从而导致用户可以插入一个外部实体并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

XML介绍

XML指可扩展标记语言,被设计为传输和存储数据,xml文档包括xml声明、DTD文档类型定义(可选)、文档元素、其焦点是数据的内容,其把数据从HMTL分离,是独立于软件和硬件的信息传输工具

XML的主要两个用途:


1.配置文件:层次分明,结构清晰,校验方便,便于拓展

2.在不同的系统之间交换数据

<?xml version="1.0" encoding="ISO-8859-1"?> //第一行为xml的声明,定义了xml的版本和使用的编码
<note>     //文档的根元素,下面四行为根元素下的四个子元素
  <to>大黄</to>
  <from>大壮</from>
  <heading>村头集合</heading>
  <body>有妹子!</body>
</note>
"阳光,开朗,大男孩"
<person name="阳光" character="开朗" result="大男孩">

<person>
     <name value="阳光" />
     <character value="开朗">
     <result value="大男孩">
</person>

 

json
{
    “name”:"阳光",
     "chatacter":"开朗",
      "result": "大男孩"
}

 

xml格式校验

DTD定义

DTD全称Thedocument type definition,即是文档类型定义,可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD可被成行地声明于XML文档中,也可作为一个外部引用。控制XML的格式规范。

DTD作用:


1.通过DTD,每一个XML文件均可以携带一个自身相关的描述
2.验证数据
3.交换数据

 

内部实体声明:(相当于变量)
<!ENTITY 实体名称"实体的值">
外部的实体声明:
<!ENTITY 实体名称SYSTEM "URI">

1fcde8df86a743308263f0dfe90cda62.png

XXE的危害

1.文件读取

0c613376cde24174987e1a0fe28b78ac.png

 

 

 

2.内网端口扫描

3.命令执行

 

带外测试:
1.是不是payload写错了
2.是不是存在这个漏洞
3.有存在但是无回显
4.是否存在这个文件

如果:关闭了回显但是带外测试成功。
远程文件窃取:
1.读本地服务器上的文件
2.远程加载了恶意DTD文件
3.攻击者的服务器 开启 接收内容并写出文件

 

忆南呦
关注
专栏目录
xxe-xml外部实体注入
nigo134的博客
07-27 2995
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 622
XXE漏洞、XML外部实体注入攻击
XXE-XML外部实体注入 漏洞详解
m0_69043895的博客
04-14 1399
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
XXE--XML外部实体注入
Y22Lee的博客
04-20 273
简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1308
XML外部实体注入XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1382
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其中,DTD需要在!DOCTYPE注释中定义根元素,而后在中括号的[]内使用!ELEMENT注 释定义各元素特征。
XXE-XML外部实体注入-知识点
weixin_44257023的博客
08-09 553
XXE-XML外部实体注入-知识点
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入(1)
2401_84252743的博客
04-29 330
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。
34-XXEXML外部实体注入
XLbb的博客
05-19 992
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
XXE漏洞-XML 外部实体注入
zeroc009的博客
02-11 2771
XXE漏洞-XML 外部实体注入xxe介绍xml基础知识新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 xxe介绍 Xml外部实体注入漏洞(XML External Entity Injection)简称XXEXXE漏洞
JAXB- XML外部实体注入安全代码漏洞(XXE)
qq_24702263的博客
05-15 2042
XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 具体的可以看:https://blog.csdn.net/qq_24702263/article/details/106137827 JAXB是什么? JAXB实现了java对象与xml之间的转换 package com.jaxb; import java.io.FileInpu
XML 外部实体注入---XXE
Hi~ 土拨鼠
12-29 601
文章目录XML介绍及用途XML语法规则XML元素介绍XML DTD介绍DTD 声明类型DTD 数据类型DTD 实体介绍XML 注入XXE)产生的原理简单的XXE 漏洞代码编写file_get_contents()函数php封装协议---php://inputsimplexml_load_string()函数XML 注入回显 输出函数XXE 漏洞利用任意文件读取 XML介绍及用途 XML 被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。 XML 允许创作者定义自己
XXE(XML外部实体注入)漏洞
2ed
08-01 916
如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它 什么是XXE 简单来说,XXE全称是——XML External Entity,就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内...
第 30 章 XML
weixin_44010641的博客
09-29 1090
4.针对不同的报错进行不同的报错机制。原因是,它并没有完全加载 XML 就返回了,也就是说,在浏览器内部加载一点,返回一点,加载一点,返回一点。所以,在不同的浏览器实现 XML 的处理是一件比较麻烦的事情。对于什么是 XML,干什么用的,这里就不在赘述了,在以往的 XHTML 或 PHP 课程都有涉及到,可以理解成一个微型的结构化的数据库,保存一些小型数据用的。在 DOM2 级处理 XML 发生错误时,并没有提供特有的对象来捕获错误,而是直接生成另一个错误的 XML 文档,通过这个文档可以获取错误信息。
windows C++-使用任务和 XML HTTP 请求进行连接(一)
苏洛的博客
10-02 698
当您使用 IXMLHTTPRequest2 接口通过 HTTP 创建 Web 请求时,可以实现 IXMLHTTPRequest2Callback 接口来接收服务器响应并对其他事件做出响应。此示例定义了 HttpRequest 类来创建 Web 请求,并定义了 HttpRequestBuffersCallback 和 HttpRequestStringCallback 类来处理响应。
XSLT 实例:掌握 XML 转换的艺术
wjs2024的博客
10-02 520
XSLT 是一种用于转换 XML 文档的语言。它允许您定义一系列的规则,这些规则描述了如何将输入的 XML 文档转换为另一种格式。XSLT 使用 XPath(一种在 XML 文档中查找信息的语言)来定位和处理 XML 元素。
手写mybatis之Mapper XML的解析和注册使用
最新发布
CSDN_LiMingfly的博客
10-04 491
你是怎么面对功能迭代的?很多程序员在刚开始做编程或者新加入一家公司时,都没有多少机会可以做一个新项目,大部分时候都是在老项目上不断的迭代更新。在这个过程你可能要学习N个前人留下的各式各样的风格迥异的代码片段,在这些纵横交错的流程中,找到一席之地,把自己的ifelse加进去。但说回来,其实不能逐步清理一片屎山,让代码在你的手上逐步清晰、整洁、干净,很多时候也是作为码农自身经验的不足,不懂得系统重构、不了解设计原则、不熟悉业务背景、不清楚产品走向等等原因造成的。
windows C++-windows C++-使用任务和 XML HTTP 请求进行连接(二)
苏洛的博客
10-03 324
当您使用 IXMLHTTPRequest2 接口通过 HTTP 创建 Web 请求时,可以实现 IXMLHTTPRequest2Callback 接口来接收服务器响应并对其他事件做出响应。此示例定义了 HttpRequest 类来创建 Web 请求,并定义了 HttpRequestBuffersCallback 和 HttpRequestStringCallback 类来处理响应。
XML外部实体注入XXE)漏洞详解
当引用本地系统文件(使用SYSTEM标识)时,XML解析器会尝试访问指定的本地路径,这可能导致安全问题,因为攻击者可能利用这一点注入恶意的外部实体引用,从而读取服务器上的敏感文件。如果引用的是公共DTD(使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值