注入攻击与防御_XXE(Web漏洞及防御)

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量379 收藏
点赞数
文章标签: 注入攻击与防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30497687/article/details/112733917
版权
91f49e3db66dbc7c6e31c37c8ea3bb3c.png

XEE:XML External Entity(XML外部实体)

(注意:XEE与XML注入、XPATH注入漏洞不一样的!)

XML:可扩展标记语言,用来结构化,存储以及传输信息!

XML文档结构:

  1. XML声明
  2. 文档类型定义(Document Type Definition,DTD,可选项)
  3. 文档元素
d04ab310454817b8b9b7badf85754fb6.png

DTD:用来约束一个XML文档的书写规范!

  1. 定义元素

(对应XML中的标签)

  1. 定义实体

(对应XML标签中的内容)

内部定义:将文档类型定义直接放在XML文档中

45c75c3e77a02bf82ab91ee51726b876.png

DOCTYPE note:定义此文档是note类型的文档!

ELEMENT note(to,from,heading,body)定义note有4个元素:

to,from,heading,body!

ELEMENT to(#PCDATA)定义to元素为#PCDATA类型

......

假如DTD文档位于XML源文件的内部

通过引用【外部文档说明】的方式进行引用!

ecedfda071dc62cfbaac8a406be413e1.png

外部引用:

文档类型定义的内容可以保存为单独的DTD文档

  1. DTD文档在本地

用SYSTEM标识,并写上”DTD的文件路径”,如下:

  1. DTD文档在公共网络上

用PUBLIC标识,如下:

称" "DTD文件的URL">

b1e66da5ce4ead81413ab597d312a9ef.png

DTD实体声明

  1. 内部实体声明
059feb9acf15610e395e971ba5a3fba9.png
  1. 外部实体声明
e2d96432d695b55fb793ff46826d44c6.png
ff6de33ae71af44011597a707f700cce.png
  1. 参数实体声明
68e0f6d2cd45099638d727d37280529c.png
  1. 引用公共实体

漏洞产生的原因

XXE是一种针对应用程序的解析XML输入的攻击,当输入包含外部实体引用的XML文件到未进行安全配置的XML解析器中时,易产生此类攻击!

XXE的利用

  1. 泄漏本地文件
// 通过加载外部实体,利用file://、php://等伪协议读取本地文件
c766feb657160bc2359d306e17679dc3.png
c07f44f349b7ce66ef59fb92dd3f0c81.png
  1. CSRF/SSRF攻击
// 攻击者使用受信任的应用程序来攻击内部的其他系统,通过HTTP请求或内部服务发起SSRF攻击
  1. 命令执行
expect://系统标识符执行系统命令
  1. 拒绝服务
// 执行特定的操作占用系统大量内存,从而造成系统瘫痪!
  1. 内网端口探测
// 访问特定的端口,来探测端口是否开放!
d6ecdcaf30a777a8e14590bab3d07407.png

注意:具体实例,会在<>篇详解!

XEE防御

  1. 禁用DTD中外部实体

防止外部实体的注入!

libxml_disable_loader(true)
  1. 过滤用户提交的XML数据

过滤关键字:

SYSTEM

PUBLIC

......

补充

XML解析器

DOM解析方式

SAX解析方式

JDOM

DOM4J

各种解析方式的工作原理,都支持外部实体的引用,因此防御过程中,一般都禁用对DTD的支持,需要支持的话,一定要禁用对DTD中外部实体引用的支持!

Yeonhi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebGoat8-xxe注入漏洞分析
09-15
Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 XXE 注入漏洞的工作...
105-web漏洞挖掘之XXE漏洞1
08-03
**防御XXE漏洞** 防止XXE漏洞的最佳实践包括: 1. 关闭XML解析器的外部实体加载功能。在Java中,可以使用SAXParserFactory的`setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)`方法。 2...
XXE攻击防御
qq_56327824的博客
03-26 7000
XXE XXE是一种很常见的漏洞类型危害也挺大的,如果一个web服务器通过用户上传处理XML文件或POST请求时,那么可能就会存在漏洞。 前段时间比较出名的微信支付的xxe漏洞 漏洞简历 XXE就是XML外部实体注入,当服务器允许引用外部实体时,同过构建恶意内容来攻击网站 产生原因 解析xml文件时允许加载外部实体,并且实体的URL支持file://和PHP://等协议,没有过滤用户提交的参数 危害 读取任意文件 执行系统命令 探测内网端口 攻击内网网站 DOS攻击漏洞检测 利用burp检测那些接
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2142
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1059
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml。
XEE漏洞任意文件读取
m0_58001548的博客
04-30 1927
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。通过 XML实体,"SYSTEM”关键词导致XML解析器可以从本地文件或者远程URI中读取数据。所以攻击者可以通过XML实体传递自己构造的恶意值,使处理程序解析它。当引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。XML指可扩展标记语言(Extensible Markup Language)XML是一种标记语言,很类似HTML。
XEE详解
m0_52051132的博客
12-15 1403
XML外部实体注入 XML External Entity Injection如果Web应用的脚本代码没有限制XML引入外部实体,从而导致用户可以插入一个外部实体,并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害 #而http : //mark4z5.com/evil.dtd内容为
网络安全-XXE(XML外部实体注入)原理、攻击防御
关注网络安全、云原生安全
09-07 4593
目录 前言 简介 原理 攻击 防御 禁用外部实体 过滤用户提交的XML数据 前言 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 博主之前用xml也没有使用过DTD,因为是可选的嘛,这里就简单说一下,学过的跳过。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE 根元素 [元素声明]>引用外部DTD文档 <!DOCTYPE 根元素 SYSTE
信息安全_xxe注入应用与拓展.pptx
08-14
如果应用程序未正确配置或过滤这些实体,攻击者可以通过构造恶意的XML输入来触发XXE注入。 **XXE的常见应用场景:** 1. **基于XML的RPC服务**:如Zend框架的XML-RPC模块,攻击者可以通过发送包含恶意实体的XML请求...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
web安全漏洞挖掘梳理
06-22
* 使用输入验证和输出编码来防御 XML 注入攻击 XXE 漏洞是一种常见的安全漏洞攻击者可以通过构建外部实体注入攻击 Web 应用程序。为了防御 XXE 攻击,需要采取相应的安全措施,例如禁止外部实体声明、限制 XML ...
XML相关的安全漏洞-XXE,XPATH小结
weixin_30273763的博客
03-11 231
0x00前言: 本文主要小结以下php下的xpath查询xml结构的漏洞利用和XXE漏洞利用 xml是可扩展标记语言,它被设计出来是为了存储传输数据的。 它的结构是树形结构,并且标签要成对出现比如下面这个例子 <?xml version="1.0" encoding="utf-8"?> <root>   <name>sijidou</nam...
Xpath注入
不忘初心,护天下安全!
10-08 352
Xpath注入 Xpath定义 XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。 Xpath注入攻击原理 XPath注入攻击主...
XEE漏洞基础以及进阶
W_seventeen的博客
02-28 1800
XML编程基础 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 ###XML标签根据自己主观定义,不像HTML是被预定义好的 <note> <to&...
SQL注入漏洞攻击防御
weixin_46273733的博客
08-13 658
一、实验名称 SQL注入漏洞攻击防御 二、实验环境(详细说明运行的系统、平台及代码等) 1、攻击机系统环境:Windows 7/8/10 2、浏览器:Firefox 53.0.2(64位) 3、浏览器插件HackBar 1.6.3.1 4、Burp Suite 1.7.11 三、实验步骤及结果 1、基于时间延迟的盲注 打开Firefox浏览器,按F12,打开FireBug。选择“网络选项卡” 实验网址: http://222.18.158.243:4609/ 注...
注入漏洞一把嗦(原理+步骤+防御
Y22Lee的博客
03-21 1295
以csdn为例,除去请求头信息,剩下的都是Head信息,其中U-A是用户的基本信息,Referer是用户的请求来源。没有回显的注入,SQL注入中最繁琐;因为没有明确的回显,所以不能直观的得到数据。只能尝试测出数据。一般盲注分为布尔盲注和时间盲注。宽字节是指占俩个以上字节的字符,而一般的字符只占一个字节,被称作单字节(窄字节)。ASCII:单字节编码GBK,UTF-8:单字节/双字节编码(区别根据范围划分,范围与ASCII保持一致)英文通常是默认占用一个字节,而汉字占用俩个字节!
3 SQL注入漏洞利用与防御
fgh123的博客
07-08 588
文章目录3.1发展历史 SQL是访问Oracle、MSQL、 Sybase、 Microsoft SQL Server和 Informⅸ等数据库服务器的标准语言 大多Web应用都要与数据库交互, 大多数的Web编程语言也提供可编程的方法来与数据库交互, 如果未对用户可控的键值过滤,就带入数据库运行,那么极有可能产生SQL注入 自SQL数据库应用于Web应用时, SQL注入就已存在, SQL注入是影响互联网企业运营且最破坏性的漏洞之一, 泄露应用程序数据库中的敏感数据, 用户姓名、密码、地址和电话
21、网站渗透:留言板注入漏洞的利用原理及防御实战
郭盛华的CSDN技术博客
10-14 4943
主讲老师:郭盛华 注入漏洞注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。 这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。 当我们想要测试某个站点时,一般会架上注入工具对其狂轰乱炸,这样做虽然有时能找到注入点,但还是有些盲目,我个人的看法是:如果有源码的话,就从源码入手,在源码中查找注入点。对于源码,有些朋友可能觉得很难,...
Web安全之注入漏洞详解及预防
路多辛的所思所想
01-31 892
注入攻击Web 安全领域中最常见的攻击方式,注入攻击发生在当不可信的数据作为命令或者查询语句的一部分被发送给解释器的时候。预防注入攻击的最好方法是代码审核,可以将静态的(SAST)、动态的(DAST)和交互式(IAST)的安全测试工具集成到 CI/CD 流程中,以便在部署到生产环境之前检测出并解决掉注入类安全问题。注意避免xml注入、代码注入、SQL注入、HTML注入注入型安全问题的发生,一定要在数据拼接的地方进行安全检查,对拼接内容进行严格校验和必要的转义处理。常见的注入漏洞及预防措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值