XML实体类解析是开发中常见的数据传递方式,但如果不慎处理,可能会导致严重的安全问题,如任意文件读取、系统命令执行等。了解并防止XML实体类解析的滥用至关重要。确保在不需要实体类解析时关闭此功能,可以有效避免潜在的安全威胁。关闭方法因开发语言不同而异,需要针对性地实施。
xml解析是开发人员日常开发中常用的一种数据传递格式,但是很多开发人员并不知道xml解析中的实体类解析。一旦引入实体类解析,可以通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
我们来看一下什么样子的格式是xml格式:
这是我们主备的xml实体类解析的网站:
通过抓包,我们可以看传递过来的格式:
这样以xml开头的并且里面是标签形式的,就是xml格式,这是如果没有禁止解析实体类的话,我们就可以利用实体类解析的形式读取我们系统的文件。
由于网站发布在windows系统中,我们来读取windows下的boot.ini
这样我们就能读取出我们知道路径的系统文件,当然如果你知道网站代码的路径你也是可以读取出网站代码的。其中包括数据库配置文件,代码配置文件等都是可以读取出来的。
针对于还不知道实体类解析的开发小伙伴,在使用大xml格式进行传递数据的时候一定要注意了,如果你业务不需要进行实体类解析,那么一定要关闭实体类解析这个,至于如何关闭,针对不同的开发语言不用的关闭方法,下一篇文章会为大家讲解。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
