[20][03][14] XML External Entity Injection(XXE)

最新推荐文章于 2023-12-11 10:10:15 发布
最新推荐文章于 2023-12-11 10:10:15 发布
阅读量400 收藏 2
点赞数
分类专栏: 信息安全 文章标签: XXE XML解析 Fortify
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/117019877
版权

文章目录

1. 描述

在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题

2. 场景

  • 解析 xml 字符串
  • 解析 xml 文件

3. 复现问题

3.1 解析 XML 文件或 xml 字符串

  • 待解析 xml 文件,命名为 xxe.xml
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
        <!ELEMENT name ANY >
        <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
    <name>&xxe;</name>
</root>

其中 <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 就是隐藏的外部实体

  • 使用 dom4j jar 版本小于 2.1.3
public class XXE {

    public static void main(String[] args) throws Exception {
        SAXReader reader = new SAXReader();

        File file = new File("src/main/resources/xxe.xml");

        Document document = reader.read(file);

        Element root = document.getRootElement();

        List<Element> childElements = root.elements();

        for (Element child : childElements) {
            System.out.printf(child.getStringValue());
        }
    }
}
  • 运行结果
&xxe;
....
_captiveagent:*:258:258:captiveagent:/var/empty:/usr/bin/false
....
_reportmemoryexception:*:269:269:ReportMemoryException:/var/db/reportmemoryexception:/usr/bin/false
_driverkit:*:270:270:DriverKit:/var/empty:/usr/bin/false
....

将 mac 上的/etc/passwd文件内容读取并打印出来了, 这个命令<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 被执行了
XXE 不仅能将系统文件读取,也能执行其他命令,如果接口将这些信息返回, 将直接展示在黑客面前
如果接口没有这些信息返回,也可以通过反弹命令将这些内容以请求的形式发送到黑客的服务器上

4. 如何解决 XXE

4.1 升级第三方组件版本至安全版本

在上面的例子中使用到 dom4j jar的 2.1.1 版本, 此 jar 在低于 2.1.3 版本下都存在 XXE 安全漏洞,在 2.1.3 中修复了问题
pom信息

<dependency>
    <groupId>org.dom4j</groupId>
    <artifactId>dom4j</artifactId>
    <version>2.1.3</version>
</dependency>

源码中修复 XXE 漏洞详情, 在 2.1.3 中新增静态方法 createDefault(),在个方法中设置了三个 Feature, 完美解决问题

public static SAXReader createDefault() {
    SAXReader reader = new SAXReader();

    try {
        reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
        reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
    } catch (SAXException var2) {
    }

    return reader;
}

可以将上面例子的代码修改成如下即可

public class XXE {

    public static void main(String[] args) throws Exception {
        SAXReader reader = SAXReader.createDefault();

        File file = new File("src/main/resources/xxe.xml");

        Document document = reader.read(file);

        Element root = document.getRootElement();

        List<Element> childElements = root.elements();

        for (Element child : childElements) {
            System.out.printf(child.getStringValue());
        }
    }
}

4.2 主动防御外部实体

在 dom4j 的源码中也是通过设置 Featrue 来防御 XXE 安全漏洞,我们也可以模仿主动进行防御设置

public class XXE {

    public static void main(String[] args) throws Exception {

        SAXReader reader = new SAXReader();
        reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        // 防止外部实体POC
        reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
        // 防止参数实体POC
        reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

        File file = new File("src/main/resources/xxe.xml");

        Document document = reader.read(file);

        Element root = document.getRootElement();

        List<Element> childElements = root.elements();

        for (Element child : childElements) {
            System.out.printf(child.getStringValue());
        }
    }
}
安全新司机
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE全称XML External Entity Injection漏洞.pdf
07-05
介绍XXE漏洞攻防知识
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
XML外部实体(XXE)注入详解
zz_strive_2012的专栏
07-30 4770
###XMLxxe注入基础知识 1.XMl定义 XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。 XML:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),.
java --XXE 攻击原理及防御
tryheart的博客
09-05 1872
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2098
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
XXEXML外部实体注入)详解
一期一会的博客
01-22 5078
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
web漏洞-xml外部实体注入(XXE)
rumil的博客
10-09 1871
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
XXEXML External Entity Injection
四问四不知的博客
05-27 1353
参考链接:http://xz.aliyun.com/t/3357
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 884
文章目录什么是XML外部实体注入?XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件类型定义?什么是XML自定义实体?什么是XML外部实体?XXE攻击有哪些类型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程
xxe-xml外部实体注入
nigo134的博客
07-27 2827
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
XXE注入--XML外部实体注入(XML External Entity)
热门推荐
u011215939的博客
05-19 1万+
前言 很早就听说过这个漏洞,但是在实际的环境中很少遇见,最近碰到过XXE注入漏洞,于是就来研究一下XXE注入。 XXE InjectionXML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题 XML知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义...
mybatis自动生成Mapper.xml,entity,dao
06-11
mybatis根据数据库表自动生成对应的实体类,映射文件和dao类的工具包,
Oracle_Attip_XML_Entity_Exploit:Oracle Attip XML实体利用
02-24
服务总线CVE-2019-2576上的XML实体扩展 概述: 从下面的请求/响应示例中可以看出,可以执行xml实体扩展攻击,并且该攻击可以发送超出现有内存和处理器容量的请求,从而导致内存瓶颈并阻止服务运行。 返回更多10kb...
ef6-6.4.4_ENTITYFRAMEWORK_
09-28
Entity Framework 6 (EF6) is a tried and tested object-relational mapper (O/RM) for .NET with many years of feature development and stabilization.
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 4991
Xml实体注入漏洞姿势总结
Fortify---XML External Entity InjectionXML实体注入)
蓝天⊙白云的博客
09-16 838
最近在做一些有关fortify的修复工作,记录一下。 1.问题简介 XML External Entities是指利用XML特征来动态构建XML文档进行攻击。一个XML实体允许包含从指定数据源获取动态数据。外部实体允许一个XML实体包含从外部URI获取的数据。除非经过配置,否则外部实体会强制 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文
JAXB血案之 XML外部实体注入漏洞(XXE)
weixin_47397751的博客
01-12 1052
1.漏洞描述 XML外部实体注入漏洞,即XXEXML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.JAXB是什么? JAXB实现了java对象与xml之间的转换,使用的注解主要有: (1)@XmlRootElement:用于类级别的注释,对应XML的根节点。参数: name 定义这个根节点的名称 namespace 定义这个根节点命名空间 (2)
XXE(XML外部实体注入)基础
最新发布
glass_york的博客
12-11 1057
XML External Entity Injectionxml外部实体注入漏洞,简称XXE漏洞。XXE是针对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。这种攻击可能导致信息泄露,命令执行,拒绝服务,SSRF,内网端口扫描以及其他系统影响。XML(eXtensible Markup Language) 一种用于表示和传输的语言。XML是一种标记语言,类似于HTML,但与HTML不同,HTML语言主要用于呈现,而XML用于传输。
XXE技巧拓展】————7、XXE (XML External Entity Injection) 漏洞实践
Fly_鹏程万里
01-24 1135
介绍 XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。主要是针对使用XML交互的Web应用程序的攻击方法。 其实我对XXE也不是很很感兴趣,通常我只是利用该漏洞从本地系统读取文件而已。最近我又开始研究最新的XXE的数据库漏洞,并在YouTube上看视频,和阅读XXE的各种文章和书籍。所以如果有错的地方,你可...
xml external entity injection
03-16
XML外部实体注入是一种攻击方式,攻击者通过在XML文档中注入恶意代码,来获取敏感信息或者控制系统。攻击者可以利用XML实体来引用外部文件,例如本地文件或者远程文件,从而执行任意代码。这种攻击方式可以利用各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值