OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)

最新推荐文章于 2024-03-03 02:02:45 发布
最新推荐文章于 2024-03-03 02:02:45 发布
阅读量272 收藏 3
点赞数
分类专栏: OWASP TOP10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43125873/article/details/119700170
版权

OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)

文章目录

前言

提示:这里可以添加本文要记录的大概内容:
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。

提示:以下是本篇文章正文内容,下面案例可供参考

一、XXE是什么?

XML External Entities 简称XXE,攻击者可以上传 XML 或在 XML 文档中包含恶意内容,这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造(SSRF)、从解析器所在机器的角度进行端口扫描以及其他系统影响。

二、什么情况会造成XXE

  • 应用程序直接接受 XML 或 XML 上传,尤其是来自不受信任的来源,或将不受信任的数据插入 XML 文档,然后由 XML 处理器解析.
  • 应用程序或基于 SOAP 的 Web 服务中的任何 XML 处理器都启用了文档类型定义 (DTD)
  • 如果应用程序在单点登录 (SSO) 使用 SAML 进行身份处理。SAML 使用 XML 进行身份断言,因此可能容易受到攻击。
  • 如果应用程序使用 1.2 版之前的 SOAP,并且将 XML 实体传递给 SOAP 框架,则它很可能容
最低0.47元/天 解锁文章
仗剑浪迹天涯丶
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASPXXEXML外部实体注入)
zzhokok的博客
08-14 447
libxml版本2.9.1之前,不包含2.9.1 使用phpinfo()查看libxml的版本信息 XML文档 组成:xml声明,DTD部分,xml部分 DTD知识 XXE利用 实战-bwapp-火狐-burp
OWASP top10OWASP十大应用安全风险)之A4 XML外部实体XXE
qq_39682037的博客
03-18 2415
TOP4 XML外部实体XXEXML外部实体攻击是对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。 默认情况下,大多数XML解析器容易受到XXE攻击。因此,确保应用程序不具有此漏洞的责任主要在于开发人员。 XML外部实体攻击媒介 如果恶意行为者可以上载XML或在XML文档中包含敌对内容的脆弱的XML处理器 易受攻击的代码 ...
WebGoat (A4) XML External Entities (XXE)
箭雨镜屋
03-15 2260
第4页 这题要求用XXE注入罗列系统根目录。 首先在上图的输入框输入个评论,比如cute,按submit提交。 到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater 从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体外部实体的内容也是可以显示在评论区的。 在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",
OWASP TOP10(2017)之【XML 外部实体XXE)】
qq_41042211的博客
07-20 343
XML以及XXE漏洞介绍 XML是指可扩展标记语言,用来传输和存储数据。XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素。XML的焦点是数据的内容,它把数据从HTML分离,是独立于软件和硬件的信息传输工具。HTML旨在显示信息,XML旨在传输和存储信息。 XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞。XXE漏洞发生在应用程序解析XML时,没有禁止外部实体的加载,导致客家在恶意外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网
OWASP TOP 10(七)XXE漏洞(XML基本语法、DTD(声明类型、数据类型、实体)、XXE漏洞原理、PHP相关函数、XML注入读取文件、漏洞防御)
Pluto.的博客
12-27 730
文章目录XML学习一、XML概述1. 简述2. XML和HTML的区别二、基本语法规则三、DTD1. 概述2. 声明类型- 内部的 DOCTYPE 声明- 外部文档声明3. 数据类型- PCDATA- CDATA4. 实体- 内部实体声明- 外部实体声明四、XEE1. 漏洞原理2. PHP相关函数- file_get_contents()- php://input- simplexml_load_string()3. XML注入回显 输出函数 XML学习 一、XML概述 1. 简述 XML 指可扩展标记语言
OWASP Top10 2017 中文版 v1.3.pdf
05-13
4. A4:2017 XML外部实体XXE):XML解析器处理恶意构造的XML文档时,可能暴露内部系统资源或执行远程代码。 5. A5:2017 失效的访问控制:权限管理不足,允许未经授权的访问或操作。 6. A6:2017 安全配置错误:系统...
DVWA靶场,集成了owasp top 10漏洞
03-28
7. A7:XML外部实体XML External Entities, XXE) - 当XML解析器处理包含恶意外部实体XML文档时,可能导致信息泄露或拒绝服务。在DVWA中,你可以学习如何构造XXE攻击。 8. A8:不安全的直接对象引用(Insecure ...
OWASPTOP10--2021中文版.rar
06-26
4. **A4: XML外部实体XXE)** XXE攻击利用XML解析器的漏洞,读取服务器上的文件或执行系统命令。禁用XML外部实体或使用安全配置的XML解析器是防止此类攻击的有效手段。 5. **A5: 外部可控制的渲染(XXR)** ...
OWASP Top 10 2017 v1.3中文最新版.pdf
08-25
4. **A4:2017 - XML外部实体XXE)**:XML解析器的漏洞,允许攻击者读取服务器上的文件或执行远程代码。 5. **A5:2017 - 失效的访问控制**:如果应用程序没有正确实施权限和角色管理,攻击者可能获取不应有的访问...
OWASP Top 10 2017 中文版2
08-03
4. **A4:2017 - XML 外部实体XXE)**:利用XML解析器的外部实体功能,攻击者可以读取服务器上的文件,甚至进行DoS攻击。 5. **A5:2017 - 失效的访问控制**:如果访问控制机制失效,用户可能能访问他们不应有的...
针对SOAP的渗透测试与防护
01-29
简单对象访问协议(SOAP)是连接或Web服务或客户端和Web服务之间的接口。SOAP通过应用层协议(如HTTP,SMTP或甚至TCP)进行操作,用于消息传输。图1SOAP操作 它是基于xml语言开发的,它使用Web服务描述语言(WSDL)来生成Web服务之间的接口。如果客户端或用户的独立应用程序想要与Web服务连接,则它需要由应用程序生成的服务端点接口(SEI)。这些接口WSDL和SEI是使用自动化工具或手动生成的,它们具有平台无关性。通用描述,发现和集成(UDDI)是Web服务
基于SOAP消息组合变异的web服务漏洞测试
04-27
基于SOAP消息组合变异的web服务漏洞测试 相关知识
owasp top10XXE漏洞
赤赤三的博客
03-21 739
XXE漏洞 XMLXML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 XXEXML External Entity 外部实体注入,只能读服务器文件,但是执行不了系统命令): XXEXML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网...
XXE外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 3
bin789456的博客
03-07 785
XInclude attacks 一些应用程序接收客户端提交的数据,在服务器端将其嵌入到 XML 文档中,然后解析该文档。当客户端提交的数据被放入后端 SOAP 请求中时,就会出现这种情况的一个示例,该请求随后由后端 SOAP 服务处理。 在这种情况下,您无法执行经典的 XXE 攻击,因为您无法控制整个 XML 文档,因此无法定义或修改DOCTYPE元素。但是,您也许可以XInclude改用。XInclude是 XML 规范的一部分,它允许从子文档构建 XML 文档。您可以XInclude在 XML
自我认为挺全面的【Web Service渗透测试总结】
HBohan的博客
02-18 727
Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。
PHP反序列化漏洞的新攻击面
Fly_鹏程万里
09-17 1195
今年8月份的美国blackhat上Sam Thomas提出了一种新的反序列化攻击场景,而且这种场景可能伴随着xxe、ssrf或者其他相关漏洞的出现而出现。本文将会对此进行介绍,并针对wordpress中的漏洞进行复现。 一、 引言 自从2009年Stefan Essar提出PHP反序列化问题以来,已经有大量的CVE出现,例如CVE-2017-12934、CVE-2017-12933等。今年8月...
xxe漏洞原理与利用
Au_Wind的博客
03-03 980
xxe漏洞原理与应用
深入了解 XXE 注射
allway2的博客
07-27 270
为了揭开这个漏洞的神秘面纱,我将分解XXE的工作原理、利用XXE漏洞的一些方法,并介绍SRT提交的两个真实世界的XXE攻击(使用经过编辑的数据来保护客户端和SRT身份)。对我们来说更重要的是,它也是XML结构的,这使得它可能容易受到XXE的攻击。我们将修改前面的示例以反映这一点。旁注如果此示例中的各种alpha/bravo/charlie变量引用令人困惑,请了解执行相同XXE攻击的各种方法,每种方法都是为了绕过Web过滤器或安抚挑剔的XML解析器。...
xxe漏洞专题
goddemon
12-19 962
XML基础 xml作用:用于标记用户的数据与标记数据类型 定义以及基本结构 两种声明方法 **内部声明DTD** <!DOCTYPE 根元素 [元素声明]> **引用外部DTD** <!DOCTYPE 根元素 SYSTEM "文件名"> #实例 <?xml version="1.0"?> <!DOCTYPE note[ <!--定义此文档是 note 类型的文档-->
owasp top10
最新发布
03-27
OWASP Top 10是由Open Web Application Security Project(OWASP)组织发布的一个关于Web应用程序安全风险的列表。它列出了当前最常见的Web应用程序安全漏洞,帮助开发人员和安全专家了解并解决这些问题。 以下是OWASP Top 10的最新版本(2021): 1. 注入(Injection):指的是攻击者通过将恶意代码注入到应用程序的输入中来执行非法操作,如SQL注入、OS命令注入等。 2. 跨站脚本(Cross-Site Scripting,XSS):攻击者通过在Web应用程序中插入恶意脚本来窃取用户信息或篡改网页内容。 3. 不安全的身份验证(Broken Authentication):指的是应用程序在用户身份验证和会话管理方面存在漏洞,如弱密码、会话劫持等。 4. 暴露的敏感数据(Sensitive Data Exposure):指的是应用程序未正确保护敏感数据,导致攻击者可以获取到用户的敏感信息。 5. XML外部实体XML External Entities,XXE):攻击者利用XML解析器的漏洞来读取本地文件、执行远程请求等操作。 6. 不安全的访问控制(Broken Access Control):指的是应用程序未正确实施访问控制机制,导致攻击者可以越权访问或修改数据。 7. 安全配置错误(Security Misconfiguration):指的是应用程序或服务器配置不当,导致安全漏洞的存在,如默认密码、错误的权限设置等。 8. 跨站请求伪造(Cross-Site Request Forgery,CSRF):攻击者通过伪造合法用户的请求来执行非法操作,如修改用户信息、发起转账等。 9. 使用已知的漏洞组件(Using Components with Known Vulnerabilities):指的是应用程序使用已知存在漏洞的第三方组件,导致攻击者可以利用这些漏洞进行攻击。 10. 不足的日志记录和监控(Insufficient Logging & Monitoring):指的是应用程序未正确记录和监控安全事件,导致无法及时发现和应对攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值