xml发生错误_XML外部实体注入详解|OWASP Top 10安全风险实践(四)

最新推荐文章于 2024-07-20 11:57:49 发布
最新推荐文章于 2024-07-20 11:57:49 发布
阅读量355 收藏
点赞数
文章标签: xml发生错误

本文为一些列连载文章之一,不定期更新,计划目录如下:

OWASP介绍

SQL注入

命令注入

XML外部实体注入

XPATH注入

反射式、DOM及存储XSS

失效的身份认证和会话管理

不安全的直接对象引用

安全配置错误

敏感信息泄露

功能级访问控制缺失

跨站请求伪造

服务端请求伪造

文件上传漏洞

未验证的重定向和转发

不安全的反序列化

使用含有已知漏洞的组件

一、     注入

注入攻击漏洞,例如SQL,OS 以及 LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。

  1.   XML外部实体注入

  • 漏洞利用演示

页面功能:选择并查看xml文件内容。假设选择的evil.xml文件内容为:

877a54b6d46782d8e3b410c667841fa6.png

则结果显示了对应的文件内容和目录内容:

cfbaefc0345d113d03e8e70dd1158f89.png

  • 漏洞危害说明

    XXE攻击可以执行服务端任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

  • 漏洞代码分析

        Stringxmlfile=request.getParameter("fileselect");        if(xmlfile ==null){            xmlfile="wah.xml";        }        File f = newFile(application.getRealPath("/") + "/xml/"+xmlfile);        SAXReader reader = newSAXReader();        try {            Document document = reader.read(f);            Element element = document.getRootElement();            Iterator it = element.elementIterator();                                    while(it.hasNext()) {        Object object = (Object) it.next();        out.println("=====开始遍历=====
");                             Element ele = (Element) object;        List eleAttrs =ele.attributes();        for (Attributeattr : eleAttrs) {                     out.println("属性名:" +attr.getName() + "--属性值:" +attr.getValue()+"
");             }                                        Iterator itt = ele.elementIterator();        while(itt.hasNext()) {             Element eleChild = (Element)itt.next();                     out.println("节点名:" +eleChild.getName() + "--节点值:" +eleChild.getStringValue().replaceAll("\r\n", "br/>")+"
");             }        out.println("=====结束遍历=====
");        }        } catch(DocumentException e) {            e.printStackTrace();        }    %>

后端处理代码中没有禁用DTD或没有对XML文件中可能引用外部实体的关键字进行判断,如果xml文件中,通过定义外部引用变量,指向系统敏感文件或其它地址,则可导致上述漏洞问题发生。

 注:代码中未对xmlfile进行验证,存在路径遍历问题。

  • 漏洞代码修复

    防止XXE注入可使用:

a.禁用文档类型定义DTD

    String xmlfile=request.getParameter("fileselect");    if(xmlfile ==null){        xmlfile="wah.xml";    }    File f = newFile(application.getRealPath("/") + "/xml/"+xmlfile);    SAXReader reader = newSAXReader();    // 禁止DTD                    reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);     reader.setFeature("http://xml.org/sax/features/external-general-entities",false);  reader.setFeature("http://xml.org/sax/features/external-parameter-entities",false);    try {        Document document = reader.read(f);        Element element =document.getRootElement();        Iterator it = element.elementIterator();        …….%>

b.过滤用户提交的XML数据关键词:!ENTITY,或者,SYSTEM和PUBLIC。

 290b26abfbbdb4611d60548d2b0496a2.gif

d4a239f03153ac72f94ca6cbb3756ea5.png

了解新钛云服

新钛云服正式获批工信部ISP/IDC(含互联网资源协作)牌照

深耕专业,矗立鳌头,新钛云服获千万Pre-A轮融资

原电讯盈科中国区副总裁加入新钛云服「附专访」

新钛云服,打造最专业的Cloud MSP+,做企业业务和云之间的桥梁

新钛云服一周年,完成两轮融资,服务五十多家客户

上海某仓储物流电子商务公司混合云解决方案

新钛云服出品的部分精品技术干货

国内主流公有云VPC使用对比及总结

万字长文:云架构设计原则|附PDF下载

刚刚,OpenStack 第 19 个版本来了,附28项特性详细解读!

Ceph OSD故障排除|万字经验总结

七个用于Docker和Kubernetes防护的安全工具

运维人的终身成长,从清单管理开始|万字长文!

OpenStack与ZStack深度对比:架构、部署、计算存储与网络、运维监控等

什么是云原生?

IT混合云战略:是什么、为什么,如何构建?

weixin_39595164
关注
常见的xml实体解析导致的安全风险有哪些_“蜂巢之声”:OWASP TOP 10风险与容器安全...
weixin_39805087的博客
11-24 4146
安全领域,几乎每个人都知道OWASP(开源Web应用安全项目),该组织会定期发布Web应用Top 10安全风险列表,是了解最需要关注哪些攻击方式的一个重要资源。在OWASP网站上可以找到有关这些攻击的详细说明,以及有关如何防止这些攻击的建议。本文,我们将探讨OWASP Top10 风险中与容器相关的内容,并给出相关的缓解措施建议。1注入如果代码中存在注入缺陷,攻击者就会利用这一缺陷来...
OWASP之XXE(XML外部实体注入
zzhokok的博客
08-14 457
libxml版本2.9.1之前,不包含2.9.1 使用phpinfo()查看libxml的版本信息 XML文档 组成:xml声明,DTD部分,xml部分 DTD知识 XXE利用 实战-bwapp-火狐-burp
常见的xml实体解析导致的安全风险有哪些_软件源码安全攻防之道(下)
weixin_39811166的博客
11-02 3293
点击“蓝字”关注我们吧上次咱们讲完了源码安全漏洞利用常见的几个姿势,本文接着来对对应的防御技术进行说明。改一个漏洞一般会比较简单,但是如何通过安全编程来避免一类某种类型的漏洞出现就会比较麻烦。其实,防御的原则相对比较好总结,主要就一个字“控”:控输入、控过程、控输出。“控”字做好了,防御也就可以随之构建起来。●源码安全漏洞的防守之道●01把好入口关,输入严校验这里的输入是相对的,取决于...
【漏洞复现】E-Cology OA——WorkflowServiceXml——SQL注入
最新发布
LongL_GuYu的博客
07-20 710
E-Cology OA协同商务系统是一款面向中大型组织的数字化办公产品,它基于全新的设计理念和管理思想,旨在为中大型组织创建一个全新的高效协同办公环境。其WorkflowServiceXml接口存在sql注入,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句,以获取数据库敏感信息、修改数据或者执行其他恶意操作,还有可能直接通过sql注入获取服务器权限。
xml文件安全
weixin_30696427的博客
09-16 255
.net下,用xml文件时,要把xml扩展名,改成config.不过,你要写xml文件,就要做如下操作了 1 ,在iis配置xml映射 2,在web.config做handler处理,把xml文件转向其他页面 转载于:https://www.cnblogs.com/chenleinet/archive/2008/09/16/1291946.html...
XML 实体注入
YT的博客
04-02 6709
XML 的文档结构: XML 文档声明,在文档的第一行 XML 文档类型定义,即DTD,XXE 漏洞所在的地方 XML 文档元素 DTD 内部声明 DTD: <!DOCTYPE 根元素 [元素声明]> 引用外部 DTD: <!DOCTYPE 根元素 SYSTEM "文件名"> 或 <!DOCTYPE 根元素 PUBLIC "public_ID" "文件名"&g...
网络安全入门必知的OWASP top 10漏洞详解
weixin_46694260的博客
12-03 1万+
新人入门安全行业必知的知识!
TWO DAY | WEB安全OWASP TOP10漏洞
EverUP
05-15 5920
OWASP:开放式Web应用程序安全项目(Open Web Application SecurityProject),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web应用程序安全风险列表”
OWASP—Top10(2021知识总结)
热门推荐
IerkeU的博客
03-23 4万+
OWASP top10 2021年版TOP 10产生三个新类别,且进行了一些整合 考虑到应关注根本原因而不是症状。 A01:失效的访问控制 ​ 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf) 风险说明: ​ 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。 常见的访问控制脆弱点: 违法最小权限原则
owasp top10详解
07-25
5. XML外部实体攻击(XML External Entity):当应用程序解析XML输入时,若未正确配置,攻击者可以利用外部实体注入执行恶意代码或进行一些攻击。 6. 注释攻击(Broken Access Control):当应用程序未正确实施访问...
OWASP TOP10系列之#TOP1# A1-注入
weixin_43125873的博客
08-07 782
OWASP TOP10系列之#TOP1# 注入类 提示:本系列将介绍OWASP TOP10 安全漏洞相关介绍,主要针对漏洞类型、攻击原理以及如何防御进行简单讲解;如有错误,还请大佬指出,定会及时改正~ 文章目录OWASP TOP10系列之#TOP1# 注入类前言一、注入类漏洞是什么?二、什么情况下会产生注入类漏洞问题?三、如何预防?、具体示例1.SQL注入2.OS命令注入3.XPath注入总结 前言 在OWASP(开放式Web应用程序安全项目)公布的10项最严重的Web 应用程序安全风险列表的在
4种常见的xml解析方法
11-15
DOM(JAXP Crimson解析器) DOM是用与平台和语言无关的方式表示XML文档的官方W3C标准。DOM是以 层次结构组织的节点或信息片断的集合。
XXE漏洞(XML外部实体注入
whoim_i的博客
02-20 4569
目录什么是XXE基础知识基本利用 什么是XXE XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体外部参数实体)做合适的处理,并...
XXE 漏洞:XML 解析器的坑
我乐了的博客
01-30 775
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
XML注入攻击总结
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
XML之XXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1289
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
XXE-XML外部实体注入 漏洞详解
m0_69043895的博客
04-14 1372
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
XML解析器安全配置
loongshawn的博客
08-03 2928
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件中的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4681
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
OWASP 2010十大安全风险详解
"OWASP 2010 TOP10列表是OWASP(开放式网络应用安全项目)在2010年发布的一项重要安全指南,旨在提高人们对应用程序安全风险的认识。该列表经过了重大修订,以更加清晰地关注风险,并详细介绍了与每个风险相关的威胁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值