XXE漏洞挖掘和防护

最新推荐文章于 2024-06-20 10:23:54 发布
最新推荐文章于 2024-06-20 10:23:54 发布
阅读量857 收藏 4
点赞数 4
分类专栏: 渗透测试 文章标签: web安全 XXE 漏洞挖掘 漏洞防护 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/128424526
版权

今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE漏洞挖掘和防护。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、XXE漏洞挖掘

对XXE类型的漏洞,我们挖掘思路如下所示:

(一)白盒代码审计

如果我们能够拿到目标系统源码,那么我们就可以进行白盒代码审计。白盒代码审计的主要思路有2个,一个是针对XML处理函数进行查找;第二个是检查可控变量的格式、传输以及使用。

(二)黑盒人工测试

如果我们拿不到目标系统源代码,那么我们就只能进行黑盒测试。除了利用现有的工具进行扫描外,黑盒人工测试主要是针对以下几点:
1、关注提交数据的类型。如果是XML格式的,就可以进行测试。
2、关注数据包的Content-Type值。如果是text/xml或者是application/xml,就可以关注该数据包。还可以尝试更改Content-Type值,例如原来的Content-type是json,发送的也是json格式的数据,我们将Content-Type类型改为XML,数据也改为XML后,尝试是否可以成功。

二、XXE漏洞防护

XXE漏洞的防护,除了传统的加装WAF外,主要有以下2种:
1、禁用外部实体。
如果目标站点禁用了外部实体,那么XXE漏洞就无法造成什么危害了。
PHP站点禁用外部实体设置如下所示:

libxml_disable_entity_loader(True);

JAVA站点禁用外部实体设置如下所示:

DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance()
dbf.setExpandEntityReferences(False)

Python站点禁用外部实体设置如下所示:

from lxml import etree
xmlData=etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、过滤用户输入。
但是,如果站点业务要求我们不能禁用外部实体,那么我们就只能对用户的输入进行严格的过滤,以期能够防止用户输入能够引起XXE漏洞的代码。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

永远是少年啊
关注
专栏目录
105-web漏洞挖掘XXE漏洞1
08-03
挖掘XXE漏洞的关键在于识别那些处理XML输入的代码点,尤其是涉及XML解析器的部分。以下是一些通用策略: 1. 检查所有接受XML输入的API或接口,寻找可能触发XML解析的代码。 2. 分析服务端如何处理XML数据,特别是...
xxe漏洞原理及防御
AoaNgzh的博客
05-06 749
在解析 XML 文档时,如果遇到了一个引用了外部实体的节点,则解析器会去解析这个外部实体,并将其内容替换为实体引用的内容。当解析器解析到这个节点时,就会去解析实体,并将实体的内容替换为节点的内容,最终导致应用程序读取了 /etc/passwd 文件的内容。需要注意的是,以上措施只是一些常见的防范措施,您需要根据具体情况设计和实现适当的防范措施,以保护您的应用程序免受 XXE 漏洞的威胁。采用安全的 XML 解析器:选择采用安全可靠的 XML 解析器,避免使用老旧的解析器或未经安全验证的解析器。
(渗透学习)XXE漏洞原理 & 挖掘 & 利用 & 防御
yang1234567898的博客
01-15 5839
1、什么是XML? xml和html结构类似,不同的是: XML 被设计用来传输和存储数据。 HTML 被设计用来显示数据。 XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素 (1)什么是DTD? 文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 ① 内部的 DOCTYPE 声明: <!DOCTYPE 根元素 [元素声明]> 如下就
XXE注入攻击与防御_
最新发布
VN520的博客
06-20 343
****XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题. 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.0x01 威胁 XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:pull-in任
网络安全--XXE漏洞利用思路
jazzz98的博客
05-19 1886
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)
JAVA代码审计之深入XXE漏洞挖掘与防御
道阻且长,行则将至。
12-16 773
原先学习和介绍过 XXE 漏洞的基础知识,但是这对于实战中挖掘此类漏洞还是远远不够的。本文将通过 WebGoat 靶场深入学习 XXE 漏洞利用,并聚焦如何在 Java 源码审计过程中发现 XXE 漏洞,以及从研发人员视角该如何规避此类漏洞
xxe漏洞的利用与防御
qq_61714717的博客
12-13 497
xxe漏洞
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
3. 内网探测:攻击者可以利用XXE漏洞探测内网中的服务和设备状态。 4. DoS攻击:通过大量请求外部资源,消耗服务器资源,导致服务不可用。 **三、XXE检测** 检测XXE漏洞通常分为白盒和黑盒两种方式: 1. **白盒**:...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
深入了解 XXE 漏洞:利用方式和防御方法详解
weixin_43263566的博客
02-05 283
XXE概述
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1549
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
Web安全XXE漏洞原理及实践学习
Continuejww的博客
12-12 1388
即XML外部实体注入漏洞。攻击者强制XML解析器去访问攻击者指定的资源内容(可能是系统上本地文件亦或是远程系统上的文件),导致可加载等危害。一句话概括:用户传入的XML被解析成实体执行。
XXE漏洞原理及防御方式。
dreamthe的博客
11-16 3288
写这篇文章目的就是想认真理理XEE这个漏洞,因为在学习过程中,听过老师的一些课,看过很多文章解释,我觉得讲的都是很官方话或者专业用语,对于初学者理解很难,可能我理解能力不够哈,嘻嘻。以下内容仅仅是我个人理解,以及我个人的比喻,比喻可以让你更好理解这个东西,这是我学习的一个方法,可是使的抽象的东西变得比较具体一些。 xml简单了解 XXE这个漏洞的理解,首先我们了解xml文档,因为该漏洞就是由xml文档引起的 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用.
XXE攻击与防御
qq_56327824的博客
03-26 7095
XXE XXE是一种很常见的漏洞类型危害也挺大的,如果一个web服务器通过用户上传处理XML文件或POST请求时,那么可能就会存在漏洞。 前段时间比较出名的微信支付的xxe漏洞 漏洞简历 XXE就是XML外部实体注入,当服务器允许引用外部实体时,同过构建恶意内容来攻击网站 产生原因 解析xml文件时允许加载外部实体,并且实体的URL支持file://和PHP://等协议,没有过滤用户提交的参数 危害 读取任意文件 执行系统命令 探测内网端口 攻击内网网站 DOS攻击 … 漏洞检测 利用burp检测那些接
XXE漏洞及防御
2301_76717406的博客
03-24 1196
&xxe;
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2168
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
XXE原理利用防御
龙狼刺的博客
04-27 492
XXE原理利用及防御
XXE漏洞深度解析与实战演练
XXE(XML External Entity)漏洞源于XML解析器允许定义和使用外部实体。攻击者通过提交恶意的XML文档,使得解析器在解析时引用了攻击者控制的外部实体,从而导致信息泄露或执行恶意操作。 二、XXE的危害 1. 文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值