生产事件实录-浅谈XXE漏洞

最新推荐文章于 2024-10-05 15:07:16 发布
原创 最新推荐文章于 2024-10-05 15:07:16 发布 · 422 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XEE #微信支付XEE漏洞

本文深入探讨了XEE漏洞的原理,展示了如何通过恶意构造的XML文档利用此漏洞读取服务器敏感信息,并提供了详细的代码示例说明如何在XML解析过程中禁用实体解析,以防止XEE攻击。

专栏链接地址

问题起源

微信商户平台收到了微信的安全通知,如下所示,漏洞详情则是XEE漏洞。所以就去了解了XEE

在这里插入图片描述
早在2018年7月初有国外白帽子就发现了这个漏洞,作为一线技术人员竟然全然不知(自我检讨ing…)
在这里插入图片描述

什么是XEE漏洞?

XXE是指基于xml的,xml外部实体攻击

下面看一段简单的xml文档代码,其中‘username’,‘password’,'address’被称为xml的元素

<?xml version="1..0"?>
<student>
	<useername>zhangsan</username>
	<password>123456</password>
	<address>ShenZhen</address>
</student>

有些XML文档包含system标识符定义的“实体”,这些XML文档会在DOCTYPE头部标签中呈现。这些定义的’实体’能够访问本地或者远程的内容。比如,下面的XML文档样例就包含了XML ‘实体’。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE Anything[
<!ENTITY myentity SYSTEM="file:///etc/passwd"]>

<xxx>&myentity</xxx>

上面这段XML代码有XEE漏洞,其中entityex就是外部实体,我们可以通过这个参数来访问file://etc/passwd的内容,因为我们web服务器在解析xml文档的过程中,实体entityes的值会直接被替换成file://etc/passwd。关键字’SYSTEM’会告诉XML解析器,'entityes’的实体值将会从后面的URL获取,也就是我们所替换的file:///etc/passwd文件,其实这个过程就是XML实体攻击过程。

解决方式

非专业白帽就不演示攻击过程了,但是要时刻谨记,XML解析一定要禁用实体解析

造成问题的原因是因为服务端需要去解析xml文件,所以只需要在xml解析代码中禁用XML实体解析如下图所示

/**
     * XML格式字符串转换为Map
     *
     * @param strXML XML字符串
     * @return XML数据转换后的Map
     * @throws Exception
     */
    public static Map<String, String> xmlToMap(String strXML) throws Exception {
        try {
            Map<String, String> data = new HashMap<String, String>();
            DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
            documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
            documentBuilderFactory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
            documentBuilderFactory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
            documentBuilderFactory.setXIncludeAware(false);
            documentBuilderFactory.setExpandEntityReferences(false);

            DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();
            InputStream stream = new ByteArrayInputStream(strXML.getBytes("UTF-8"));
            org.w3c.dom.Document doc = documentBuilder.parse(stream);
            doc.getDocumentElement().normalize();
            NodeList nodeList = doc.getDocumentElement().getChildNodes();
            for (int idx = 0; idx < nodeList.getLength(); ++idx) {
                Node node = nodeList.item(idx);
                if (node.getNodeType() == Node.ELEMENT_NODE) {
                    org.w3c.dom.Element element = (org.w3c.dom.Element) node;
                    data.put(element.getNodeName(), element.getTextContent());
                }
            }
            try {
                stream.close();
            } catch (Exception ex) {
                // do nothing
            }
            return data;
        } catch (Exception ex) {
            throw ex;
        }

    }
漏洞复现】用友U8-Cloud XChangeServlet XXE漏洞
qq_67810151的博客
05-11 932
用友U8 cloud /service/XChangeServlet接口存在XXE漏洞,未授权的攻击者可通过此漏洞获取数据库敏感信息,从而盗取服务器数据,造成服务器信息泄露。
泛微E-Cology XXE漏洞复现(QVD-2023-16177)
0xSec
07-23 7853
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
微信支付回调,XXE攻击漏洞防止方法
dianhuoshu1349的博客
07-06 505
最近微信支付回调发现的XXE攻击漏洞(什么是XXE攻击,度娘、bing去搜,一搜一大把),收到通知后即检查代码, 微信给的解决方法是如果你使用的是: XmlDocument: XmlDocument xd = new XmlDocument { XmlResolver = null, }; 我们做微信支付没有使用他们的SDK,底层解析XML没有使用XmlD...
DOM解析之DOM防护-XXE(外部实体注入漏洞)
就写一行代码
11-20 1389
最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞” 也就是说 涉及微信回调解析xml的过程需要补充一个防止外部实体注入的代码,以下以DOM为例。 具体代码如下: 这个是一个公共的方法 用来解析之前加入xml防护 package com.net.pay.wxpay.util; import java.io.IOException; import javax.xml...
Web安全攻防-----学习笔记(四)之XXE漏洞、WAF的那些事
舞指如歌~的博客
09-12 937
4.12 XXE漏洞 4.12.1 介绍XXE漏洞 XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文档使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档包括XML声明、DTD文档类型定义、文档元素。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的...
记一次excel XXE漏洞
mingyqf的博客
07-04 3101
​ LSA / 2020-05-21 09:00:16 / 浏览数 20953
利用EXCEL进行XXE攻击
yggcwhat
05-01 1227
利用EXCEL进行XXE攻击
Pikachu-xxe-xxe漏洞
最新发布
guanrongl的专栏
10-05 586
XXE漏洞全称XML External(外部的) Entity(实体) Injection(注入),即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,没有对xml文件进行过滤,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。简而言之就是 外部实体,也就是我们DTD部分中的变量在加载(引用)外部的内容,从而发起了网络请求(本地请求)
精选资源
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
31-浅谈SSRF漏洞1
08-03
3. 利用脆弱组件和特殊协议(如ftp://, file:///, gopher://, dict://等)发起攻击,例如通过FFmpeg进行任意文件读取,或利用XXE漏洞。 检测SSRF攻击的方法通常涉及监控日志,寻找异常的内网IP请求,尤其是连续且...
文件上传xlsx之XXE漏洞
LAngle9的博客
11-18 2789
1 新建一个excel文件2 修改后缀名为.zip格式3解压缩出文件夹4 文件结构如下,可以进行修改,给excel添加一些功能键可结合VBA添加事件。5修改完成后,全选文件,进行压缩。注:不要选sss文件夹来压缩,要全选文件。6 压缩文件格式选择.zip格式。7产生压缩文件8 修改后缀名9 打开文件成功,看到之前在。excel 修改设置(将excel修改后缀名,解压缩方式)_下雨了620的博客-优快云博客_excel改为rar后没有xl。使用BURP的dnslog地址看是是否有回显。
XXE漏洞详解(全面)
m0_64481831的博客
02-18 2463
XML是一种标记语言,用于描述数据的结构和内容。它可以用来表示各种类型的数据,例如文本、数字、图像等。XML设计的目的是为了使数据的交换和共享更加容易,同时也可以被用于数据的存储和传输。用途:异步系统之间进行数据传输的媒介(现在json代替了该功能)例如如果想要Java程序和Python程序之间进行数据传输,就可以使用xml作为存放数据的载体,以此传输。作为配置文件使用配置文件是用于给应用程序提供配置参数以及初始化设置的一些文件。xml文档声明,在文档的第一行,包括xml版本号和字符集声明。
xxe漏洞专题
goddemon
12-19 1118
XML基础 xml作用:用于标记用户的数据与标记数据类型 定义以及基本结构 两种声明方法 **内部声明DTD** <!DOCTYPE 根元素 [元素声明]> **引用外部DTD** <!DOCTYPE 根元素 SYSTEM "文件名"> #实例 <?xml version="1.0"?> <!DOCTYPE note[ <!--定义此文档是 note 类型的文档-->
java sql解析器_漏洞经验分享丨Java审计之XXE(下)
weixin_39620334的博客
11-29 204
上篇内容我们介绍了XXE的基础概念和审计函数的相关内容,今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法,希望对大家的学习有所帮助! 上期回顾 ◀漏洞经验分享丨Java审计之XXE(上)Blind XXEBlind XXE与OOB-XXE一般XXE利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象(带内XML外部实体(XX...
XXE漏洞简介
记录学习
06-01 1393
XXE漏洞简介
XXE-XML外部实体注入 漏洞详解
m0_69043895的博客
04-14 1646
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
XXE 原理漏洞详解
灰太的表格的博客
04-03 819
XXE 原理漏洞详解 1 什么是XXE漏洞 XXE漏洞全程XML External Entity Injection 即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行 内网端口扫描 攻击内网网站 发起DOS攻击等危害 可以类比SQL注入解析传入SQL语句,解析XML语句 2 什么是XML 一种类似html的语...
xee漏洞学习
weixin_44110913的博客
04-14 984
前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括...
Shopware 5.3.3 XEE漏洞复现
heySister
12-11 1444
环境搭建 使用了php7.0版本、Mysql 5.5版本、Apache2 在安装过程中还挺烦的,因为各种扩展没有弄好…emmm…可能因为我没有好好看readme吧。 安装php7.0-curl curl php7.0-mysql php7.0-xml 在php.ini 中开启curl | mysql | pdo-mysql | xml扩展 反正就是提示什么错误,就对应去找就好了。 以后搭环境就...
泛微oa e-cology xxe 漏洞
08-17
泛微OA是一种常见的企业办公自动化系统,而XXE(XML外部实体注入)漏洞是指攻击者通过注入恶意的外部实体来读取或利用系统中的敏感数据。 泛微OA的XXE漏洞是由于系统对外部XML实体的处理不当所导致的。攻击者可以通过构造恶意的XML实体并将其发送给系统,然后利用系统对外部实体的解析不当来读取系统中的文件,包括敏感的配置文件、数据库信息。攻击者还可以通过XXE漏洞发起钓鱼攻击或者是向系统发送恶意的请求来进一步导致系统的安全漏洞。 为了防范泛微OA的XXE漏洞,建议以下几点: 1. 进行安全审计:对泛微OA系统进行定期的安全审计,通过检测系统中的漏洞和弱点,及时修复存在的XXE漏洞。 2. 模板限制:在处理外部XML实体时,应限制或阻止对外部实体的解析,避免可能的XXE攻击。可以通过设置合适的解析选项,限制对外部实体的访问权限。 3. 输入验证与过滤:对于用户输入的数据,应进行合理的验证和过滤,确保输入的内容符合预期格式,避免恶意的外部实体注入。 4. 更新补丁:定期保持泛微OA系统的更新与升级,及时安装官方发布的补丁和修复漏洞的版本。 5. 安全意识培训:加强企业员工的安全意识培训,提高他们对XXE漏洞及其他安全威胁的认识,避免因无意中点击恶意链接或下载恶意附件而导致漏洞的利用。 通过以上措施,可以有效地减少泛微OA中的XXE漏洞,提升系统的安全性。及早识别并修复漏洞,有助于保护企业的机密信息以及防止潜在的安全威胁发生。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值