Fly_鹏程万里

之前在参加一场CTF竞赛中遇到了xxe漏洞，由于当时并没有研究过此漏洞，解题毫无头绪。为了弥补web安全防御知识以及减少漏洞利用短板，我翻阅了一些关于xxe漏洞的资料，学习后在此总结分享。XML基础在介绍xxe漏洞前，先学习温顾一下XML的基础知识。XML被设计为传输和存储数据，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。XML文档结构XML文档结...

一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。内部声明DTD根元素 [元素声明]>引用外...

目录XML基础 XML实体注入漏洞的几种姿势 防御XML实体注入漏洞XML基础XML是一种用于标记电子文件使其具有结构性的标记语言，用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。XML技术基础我在这里将不在详细解读，有兴趣的小伙伴可以通过...

前言XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安...

前言XXE漏洞是针对使用XML交互的Web应用程序的攻击方法，在XEE漏洞的基础上，发展出了Blind XXE漏洞。目前来看，XML文件作为配置文件（Spring、Struts2等）、文档结构说明文件（PDF、RSS等）、图片格式文件（SVG header）应用比较广泛，此外，网上有一些在线XML格式化工具也存在过问题，如开源中国的在线XML格式化工具XXE漏洞：http://www.wo...

大家都知道，许多WEB和移动应用都依赖于Client-Server的WEB通信交互服务。而在如SOAP、RESTful这样的WEB服务中，最常见的数据格式要数XML和JSON。当WEB服务使用XML或者JSON中的一种进行传输时，服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析器的配置不完善，在JSON传输的终端可能会遭受XXE攻击，也就是俗称的XML外部实体攻击。XXE...

介绍XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时，没有禁止外部实体的加载。主要是针对使用XML交互的Web应用程序的攻击方法。其实我对XXE也不是很很感兴趣，通常我只是利用该漏洞从本地系统读取文件而已。最近我又开始研究最新的XXE的数据库漏洞，并在YouTube上看视频，和阅读XXE的各种文章和书籍。所以如果有错的地方，你可...

在进入正文前，我想告诉大家，文章没有涉及任何XXE攻击的任何新技巧，这只是我遇到的一个案例，我只想分享给大家。简短的摘要是非常重要的：在对后台一无所知的情况下发现了一个XXE漏洞，该漏洞没有返回任何数据或者文件，这就是盲打XXE 使用盲打XXE进行基于报错的端口扫描 成功的外部交互正常进行 充分利用了盲打XXE识别了后端系统的文件身为渗透测试人员，我每天都的学习都很充实，有的来自喜...

0x00 前言XML外部实体攻击非常常见，特别是通过基于HTTP的API，我们经常遇到并利用以此通常获得对客户端环境的特权访问。不常见的是用Excel进行XXE攻击。0x01 这是什么方式实际上，与所有post-Office 2007文件格式一样，现代Excel文件实际上只是XML文档的zip文件。这称为Office Open XML格式或OOXML。许多应用程序允许上传文件。有些...