XML外部实体引用(XXE,XML External Entity attack)漏洞原理及其预防

最新推荐文章于 2024-08-16 17:40:16 发布
最新推荐文章于 2024-08-16 17:40:16 发布
阅读量5.6k 收藏 3
点赞数
分类专栏: Web应用程序安全风险

0x00 什么是XML

XML 指可扩展标记语言(EXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。和HTML类似,但HTML被设计来显示数据,XML被设计来传输数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

0x01 什么是XML外部实

DTD(文档类型定义)的作用是定义XML文档的合法构建模块,DTD可以在XML文档内声明,也可以在外部引用。

内部声明DTD:<!DOCTYPE 根元素 [元素声明]}>;引用外部DTD:<!DOCTYPE 根元素 SYSTEM “文件名”> 或者<!DOCTYPE 根元素 PUBLIC “public_ID” “文件名”>。

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

内部声明实体:<!ENTITY 实体名称 “实体的值”>;引用外部实体:<!ENTITY 实体名称 SYSTEM “URI”>。或者<!ENTITY 根元素 PUBLIC “public_ID” “URI”>。

上面代码中,XML外部实体“el”被赋值为“file:///etc/passwd”。在解析XML文档时,关键字SYSTEM会告知XML解析器‘el’实体的值从URI文件里面的内容获取到。

0x03 XXE外部实体注入漏洞原理

许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用,关键字SYSTEM会使XML解析器从URI中读取内容,并允许它在XML文档中被替换。所以,攻击者就能通过实体将自定义的值发送给应用程序,这样就能构造恶意内容,导致任意文件读取、系统命令执行、攻击内网等危害。

引入外部实体的方式有多种,如:

    1.内部声明DTD直接引用:

    

    2.内部声明DTD间接引用:

    

    test.dtd文件内容:

    

    3.引用外部DTD:

    

    test2.dtd内容:

    

0x04 XXE预防

尽可能使用简单的数据格式(如JSON),避免对敏感数据进行序列化。

及时修复或更新应用程序或底层操作系统使用的所有XML处理器和库。同时通过依赖性检测,将SOAP更新到1.2及以上版本。

在应用程序的所有XML解析器中禁用XML外部实体和DTD进程。

在服务器实施积极的(“白名单”)输入验证、过滤和消毒,以防止在XML文档、标题或节点中出现恶意数据。

验证XML或XSL文件上传功能是否使用XSD验证或其他类似验证方法来验证上传的XML文件。

及时利用工具预防和检测XXE漏洞,SAST可以检测源代码中的XXE漏洞。

0x05 参考文献

https://security.tencent.com/index.php/blog/msg/69

3x_calibur
关注
专栏目录
XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXEXML External Entity外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XMLXXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
XXE(XML External Entity attack)XML外部实体注入攻击
xiaoi123的博客
08-15 2210
导语   XXEXML External Entity外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。   尽管XXE漏洞已经...
XML外部实体注入
最新发布
2201_75572825的博客
08-16 1620
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护。
XXE漏洞01】XML漏洞原理及实验
Fighting_hawk的博客
03-21 3015
1. 了解XXE的内容和原理。 2. 掌握XXE漏洞利用方法。 3. 掌握XXE漏洞的修改建议。
XML 基础知识 && XXE 漏洞原理解析及实验(基础篇)
Jinmindong
02-16 1221
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
(39.1)【XML漏洞专题】必备的基础知识、利用原理、构建规则
04-24 1884
【专题】XML利用必备基础知识
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2203
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
XML外部实体攻击(XXE原理与防范
XML外部实体攻击(XML External Entity Injection,简称XXE攻击)是一种利用XML解析器漏洞的攻击手段。攻击者通过篡改XML文档,引入恶意的外部实体或者URL,从而导致服务器端的信息泄露或者拒绝服务(DoS)攻击。 #...
XML外部实体攻击:原理、风险与防御
然而,XML的特性之一——外部实体,也带来了安全风险,即XML外部实体攻击(XXEXML External Entity Attack)。这种攻击利用了XML解析器处理外部实体的方式,可能导致敏感信息泄露、拒绝服务(DoS)甚至是跨站请求...
XML基本介绍&XXE漏洞
大博的博客
06-02 832
第一次碰见XXE漏洞 xml是可扩展标记语言(EXtensible Markup Language)的缩写。它与HTML类似同为w3c推荐标准,但是比HTML要严谨。因为它所有的标签一定要闭合。 同时它也可以用自己定义的标签,但是XML是不作为的标记语言,不像HTML,XML只是将数据结构化存储与传输。 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用...
外部实体注入漏洞
m0_62207482的博客
01-30 787
在目标服务器无回显的情况下,只能通过OOB信息传送来进行XXE攻击,但 实际的操作过程则比较烦琐,本节针对无回显的XXE ,通过Python脚本来实现流 程自动化。XXE的危害不仅在于攻击服务器,还能通过XXE进行内网的端口探测以及攻 击内网网站等。我们在VPS上创建名为evil.xml的恶意DTD文件,并将其放在apache 的网页目 录下,同时开启apache服务。·对用户提交的XML数据进行过滤,如关键词<!# 对原生的log_message函数进行重写,在输出结果的同时把结果保存到文件中。
[Web漏洞原理解析]XXE——XML实体注入
slismy的博客
01-23 303
白话Web漏洞 Author:Bell0ne_ XXE-实体注入一、XML是什么?二、使用步骤1.引入库2.读入数据总结 一、XML是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
.xml外部实体引用
一技旁身
06-01 1万+
一、语法XML声明: XML声明放在XML文档的第一行 XML声明由以下几个部分组成: version:文档符合xml1.0规范,我们学习1.0 encoding:文档字符编码,比如“GB2312”或者“UTF-8” standalone:文档定义是否独立使用“no”为默认值表示不独立(允许使用外部声明),yes表示独立使用(不允许使用外部声明) &lt;?sml version="1.0" ?...
Xml外部实体注入漏洞(XXE)与防护
热门推荐
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
xml经典总结
gotohbu的专栏
08-31 2286
XML(eXtensible Markup Language)是万维网联盟(World Wide Web Consortium W3C)定义的一种可扩展标志语言。    可扩展性指允许用户按照XML规则自定义标记(tags 标签)。强项:轻松表达多层结构的数据;可扩展。优点:平台无关,语言无关。设计目标是描述数据并集中于数据的内容,与显示分离。提醒:不能用XML来直接写网页。即便是包含了XML数据
一文学懂XXE漏洞,从0到1
weixin_41489908的博客
12-11 362
我很想知道,你上一秒还在回复信息,下一秒就消失几个小时,是你坟头没有信号,还是睡你旁边的压着你手了。。。 ---- 网易云热评 第一阶段(浅谈XML) 初识XML 一个好的代码基础能帮助你更好理解一类漏洞,所以先学习一下XML的基础知识。 XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具,简单来说XML主要是面向传输的。 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language) ...
XML外部实体注入学习
paidx0
08-26 1593
前言 最近做题做到XXE 这类型的题,也没有系统学习过,只是简单知道他和 XML 有关,这次就了解了一下XXE 漏洞 简单了解XML XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输信息 XML 允许创作者定义自己的标签和自己的文档结构 XML的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,
xml注入漏洞
weixin_45095113的博客
10-28 5006
xml注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值