XML External Entity Injection(xml外链实体注入)

最新推荐文章于 2023-12-11 10:10:15 发布
最新推荐文章于 2023-12-11 10:10:15 发布
阅读量567 收藏 1
点赞数
原文链接:http://www.cnblogs.com/duanbiflying/p/7661732.html
版权

XML External Entity Injection(xml外链实体注入)

xml 外联实体

参考博客:http://blog.csdn.net/cristianojason/article/details/51000438

例如:

源文件

<?xml version="1.0" encoding="GBK"?>

<!DOCTYPE root[

<!ENTITY titlue "我是title1">

<!ENTITY titlue2 "我是title2">

]>

<root1>

<title value="&titlue;"> &titlue; </title>

<title2>

<value><a>&titlue2;</a></value>

</title2>

</root1>

 

解析后的结果:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE root>

<root1>

<title value="我是title1">我是title1</title>

<title2>

<value>

<a>我是title2</a>

</value>

</title2>

</root1>

 

危害:如果外链的是一个网页, 或者其他程序,又或者外联一下攻击性的东西, 导致的后果可想而知。

解决方案:

禁止外链实体:

public static XmlDocument GetXmlDocumentIgnoreDtd(string xmlContent)
        {
            var xmlDoc = new XmlDocument
            {
                XmlResolver = null
            };
            var settings = new XmlReaderSettings()
            {
                DtdProcessing = DtdProcessing.Prohibit,
                XmlResolver = null
            };
            
            // 禁止外联实体,防止注入
            byte[] array = Encoding.UTF8.GetBytes(xmlContent);
            using (var stream = new MemoryStream(array))
            {
                var reader = XmlReader.Create(stream, settings);
                xmlDoc.Load(reader);
            }
            return xmlDoc;
        }

 注:如果导入的xml中存在外联实体,则会抛出异常,因为该方法不允许外链实体,如果想导入外联实体则需要修改DtdProcessing = DtdProcessing.Prohibit, XmlResolver = null

转载于:https://www.cnblogs.com/duanbiflying/p/7661732.html

weixin_30632089
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXE全称XML External Entity Injection漏洞.pdf
07-05
介绍XXE漏洞攻防知识
web漏洞-xml外部实体注入(XXE)
rumil的博客
10-09 1871
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
XXE(XML外部实体注入)详解
一期一会的博客
01-22 5078
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
XXE(XML External Entity Injection
四问四不知的博客
05-27 1353
参考链接:http://xz.aliyun.com/t/3357
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 884
文章目录什么是XML外部实体注入?XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件类型定义?什么是XML自定义实体?什么是XML外部实体?XXE攻击有哪些类型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程
xxe-xml外部实体注入
nigo134的博客
07-27 2827
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
Oracle_Attip_XML_Entity_Exploit:Oracle Attip XML实体利用
02-24
服务总线CVE-2019-2576上的XML实体扩展 概述: 从下面的请求/响应示例中可以看出,可以执行xml实体扩展攻击,并且该攻击可以发送超出现有内存和处理器容量的请求,从而导致内存瓶颈并阻止服务运行。 返回更多10kb...
Java实体类(entity)作用说明
08-24
主要介绍了Java实体类(entity)作用说明,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
xml映射实体对象
11-05
自己写的一个xml映射实体对象类,附件为一个AXIS客户端代码生成文档
mybatis自动生成Mapper.xml,entity,dao
06-11
mybatis根据数据库表自动生成对应的实体类,映射文件和dao类的工具包,
XML External Entities 攻击(XML外部实体注入
weixin_45352161的博客
05-17 3411
使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资 源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解 析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 4991
Xml实体注入漏洞姿势总结
[20][03][14] XML External Entity Injection(XXE)
安全新司机
05-19 400
文章目录1. 描述2. 场景3. 复现问题3.1 解析 XML 文件或 xml 字符串4. 如何解决 XXE4.1 升级第三方组件版本至安全版本4.2 主动防御外部实体 1. 描述 在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题 2. 场景 解析 xml 字符串 解析 xml 文件 3. 复现问题 3.1 解析 XML 文件或 xml 字符串 待解析 xml 文件,命名为 xxe.xml &
XXE(XML外部实体注入)基础
最新发布
glass_york的博客
12-11 1057
XML External Entity Injectionxml外部实体注入漏洞,简称XXE漏洞。XXE是针对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。这种攻击可能导致信息泄露,命令执行,拒绝服务,SSRF,内网端口扫描以及其他系统影响。XML(eXtensible Markup Language) 一种用于表示和传输的语言。XML是一种标记语言,类似于HTML,但与HTML不同,HTML语言主要用于呈现,而XML用于传输。
【XXE技巧拓展】————7、XXE (XML External Entity Injection) 漏洞实践
Fly_鹏程万里
01-24 1135
介绍 XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。主要是针对使用XML交互的Web应用程序的攻击方法。 其实我对XXE也不是很很感兴趣,通常我只是利用该漏洞从本地系统读取文件而已。最近我又开始研究最新的XXE的数据库漏洞,并在YouTube上看视频,和阅读XXE的各种文章和书籍。所以如果有错的地方,你可...
Fortify---XML External Entity InjectionXML实体注入
蓝天⊙白云的博客
09-16 838
最近在做一些有关fortify的修复工作,记录一下。 1.问题简介 XML External Entities是指利用XML特征来动态构建XML文档进行攻击。一个XML实体允许包含从指定数据源获取动态数据。外部实体允许一个XML实体包含从外部URI获取的数据。除非经过配置,否则外部实体会强制 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文
十三、pikachu XXE外部实体注入漏洞(xml external entity injection
山兔的博客
08-11 209
一、暴力破解 1、Burte Force(暴力破解)概述 用字典跑出账号和密码 存在暴力破解漏洞,指的是存在较弱的安全认证机制。 包括: 1.是否要求用户设置复杂的密码; 2.是否每次认证都使用安全的验证码或者手机otp; 3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等); 4.是否采用了双因素认证; 从来没有哪个时代的黑客像今天一样热衷于猜解密码 —奥斯特洛夫斯基 2.表单的暴力破解 像我们日常登录的用户密码 在页面中填入admin,admin,然后点击Logi
XXE(XML External Entity attack)XML外部实体注入攻击
xiaoi123的博客
08-15 2159
导语   XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。   尽管XXE漏洞已经...
xml external entity injection
03-16
XML外部实体注入是一种攻击方式,攻击者通过在XML文档中注入恶意代码,来获取敏感信息或者控制系统。攻击者可以利用XML实体来引用外部文件,例如本地文件或者远程文件,从而执行任意代码。这种攻击方式可以利用各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值