关于xml实体攻击的讨论

已于 2023-09-21 16:25:59 修改
阅读量797 收藏
点赞数
分类专栏: 安全 文章标签: xml java
于 2023-02-12 15:47:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tlxamulet/article/details/128995764
版权

xml实体攻击

分为外部实体攻击和内部实体攻击。

外部通用实体举例:

<?xml version="1.0" encoding="utf-8"?>
 
<!DOCTYPE admin[
 
<!ENTITY user SYSTEM "file:///D:/user.txt">

]>
 
<user><username>&user;</username><age>12</age></user>

user.txt如下:

chuchu

最终拿到的xml是这样的:

<user><username>chuchu</username><age>12</age></user>

相当于xml为我们提供了一种动态设置标签值的强大能力(果然每种语言都有要成为通用语言的野心啊。。。)

外部实体还有一种类型叫“参数实体”,其所能提供的动态能力更强,当然,可能更危险。

外部实体的英文翻译是XXE(Xml eXternal Entity)。

内部实体举例:

<?xml version="1.0" encoding="utf-8"?>
 
<!DOCTYPE a1 [
    <!ENTITY a1 "a1">
    <!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;&a1;&a1;">
    <!ENTITY a3 "&a2;&a2;&a2;&a2;&a2;&a2;&a2;">
    <!ENTITY a4 "&a3;&a3;&a3;&a3;&a3;&a3;&a3;">
]>
<user><username>&a4;</username><age>12</age></user>

内部实体可以递归展开,常用来做XML Entity Expansion攻击,造成Dos(Denial of service)。

解决方法

如果我们用sax解析xml,通常可使用:

SAXReader.createDefault

该方法会禁掉如下一些实体特性:

public static SAXReader createDefault() {
        SAXReader reader = new SAXReader();

        try {
            reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
            reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
            reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        } catch (SAXException var2) {
        }

        return reader;
    }

也可使用XMLHelper.newXMLReader(),这样创出来的XMLReader连disallow-doctype-decl都设置为true,能防范所有的xml实体攻击。

这些feature的详细说明:

// This is the PRIMARY defense. If DTDs (doctypes) are disallowed, almost all 
// XML entity attacks are prevented
// Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl
// 因为实体都定义在doctype里,所以禁掉doctype,无论外部还是内部实体攻击就都不存在了
FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
dbf.setFeature(FEATURE, true);

// If you can't completely disable DTDs, then at least do the following:
// Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-general-entities
// Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-general-entities
// JDK7+ - http://xml.org/sax/features/external-general-entities
// 禁掉外部通用实体(external general entity)。
FEATURE = "http://xml.org/sax/features/external-general-entities";
dbf.setFeature(FEATURE, false);

// Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-parameter-entities
// Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities
// JDK7+ - http://xml.org/sax/features/external-parameter-entities
// 禁掉外部参数实体(external general entity)。
FEATURE = "http://xml.org/sax/features/external-parameter-entities";
dbf.setFeature(FEATURE, false);

// Disable external DTDs as well
// 这玩意似乎对防御实体攻击没啥用?待确认
FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
dbf.setFeature(FEATURE, false);

结论:

  • 防御外部实体攻击,可以设置external-general-entities和external-parameter-entities选项为false
  • 防御内部实体展开攻击,似乎只能设置disallow-doctype-decl为true了

排查方法

顺带说一下排查方法,可搜索如下关键字:
SAXReader、XMLReader、SAXParser、DocumentBuilder、SAXBuilder
上述都是常用的xml解析库里的类。
我们只要看new出parser或reader实例的地方有没有设置防范实体攻击的feature即可,例如:

        // 如果不需要 inline DOCTYPE 声明,可使用以下属性将其完全禁用,几乎可以阻止所有的XML实体攻击。
        factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

        factory.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true);

        // 是否包含外部生成的实体。
        factory.setFeature("http://xml.org/sax/features/external-general-entities", false);

        // 是否包含外部的参数,包括外部DTD子集。
        factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

        // 禁止DTDS外部引用文件
        factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
天下无敌笨笨熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE(xml外部实体攻击)
HoYim
04-11 4425
1、概念 XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
xml外部实体攻击
07-17
xml外部实体使用,漏洞产生原因,详细举例攻击原理,修复方法等
XML注入攻击
壮乡码农
12-09 1523
一、XML攻击是什么? XML攻击和SQL注入类似,XML注入是将用户输入的数据当成节点处理。 二、攻击原理 攻击前提是使用XML作为存储数据的方式,在代码对xml进行查询或者修改时,用户输入的是节点,将攻击的节点保存到xml中,从而影响到程序的运行。 例如: String xml = "<username>"+request.getParameter("username")+"</username>" ...
网络安全-XXE(XML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
最新发布
2401_84264491的博客
05-09 349
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
防止 XML外部实体注入
gjp014的专栏
09-18 6450
方式一 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); // 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击 String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl"; ...
[XML外部实体***]XXE attack
weixin_34209406的博客
11-29 157
Pnig0s p.s:最近80Sec发表了一篇关于介绍XML实体注入漏洞的警告文章,其实查阅相关资料可以发现XML外部实体***相关技术早在02年就在国外被提出,文中明确提到几种编程语言的xml应用中均存在***风险,现将原文贴出: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Gregory Steuck se...
xml.rar_xml
09-19
同时,安全问题也不容忽视,比如防止XXE(XML External Entity)攻击,应限制解析器对外部实体的访问。 综上所述,Java操作XML涉及到了解析、创建、修改XML文档,以及使用CSS和XSLT处理XML的样式。通过选择合适的...
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
这篇文章主要讨论了CVE-2020-29436,这是一个针对Nexus Repository Manager 3的安全漏洞,该漏洞是由于XML外部实体注入(XXE)引起的。Nexus Repository Manager 3是一款广泛使用的软件包仓库管理服务,它允许组织...
Having Fun with XML Hacking.zip
10-25
4. **XXE(XML外部实体注入)和XEE(XML实体扩展攻击)**:这两种攻击利用了XML解析器对实体的处理方式,攻击者可以构造恶意XML文档,获取未授权的系统信息或者执行代码。 5. **DOM(文档对象模型)XML处理**:DOM...
XML 高级编程04 全面讨论xml编程
09-23
DTD使用实体和元素声明来约束文档结构,而XML Schema提供了更强大的数据类型和复杂结构的支持。 四、XPath与XSLT XPath是一种查询XML文档的语言,用于选取节点或计算值。例如,`/root/child` 选择器会选取根元素下...
XML手册(四个文件)
10-18
11. **XML的安全性**:讨论XML注入攻击及相应的防护措施,如使用XML解析器的安全配置和避免解析未信任的XML数据。 12. **XML的实际案例**:提供XML在实际项目中的应用示例,如配置文件、数据存储、软件间通信等。 ...
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 600
XXE漏洞、XML外部实体注入攻击
XML之XXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1248
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
XXE(XML External Entity attack)XML外部实体注入攻击
mkl7717的博客
05-20 244
示例:]>©right;</author>
setFeature的妙用,解析XML时,外部注入预防即XXE攻击
scmrpu
12-29 1万+
SAX2采用feature和property这两种办法对解析器进行设置。SAX不但没有限制feature的种类,还鼓励其他组织和个人创建自己的feature。这些feature表示解析器的功能,通过设置feature,我们可以控制解析器的行为,例如,是否对XML文件进行验证等等。下面我们演示如何使用feature。XMLReader中有getFeature和setFeature两个方法。getFe
XML External Entities 攻击XML外部实体注入)
weixin_45352161的博客
05-17 3497
使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资 源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解 析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM
Xml外部实体注入漏洞(XXE)与防护
热门推荐
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4548
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
XXE: XML eXternal Entity Injection vulnerabilities
weixin_30791095的博客
01-06 277
From:https://www.gracefulsecurity.com/xml-external-entity-injection-xxe-vulnerabilities/ Here’s a quick write-up on XXE, starting with how to detect the vulnerability and moving on to how to fix it...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值