常见漏洞丨XXE

常见漏洞丨XXE

本文章提供的网络安全技术信息仅用于教育和研究目的,读者在使用这些技术时应自行承担责任。作者不对读者在使用这些技术时可能引发的后果承担责任。

一、XXE漏洞简介

XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。

在某些情况下,攻击者可以利用 XXE 漏洞联合执行服务器端请求伪造(SSRF) 攻击,从而提高 XXE 攻击等级以破坏底层服务器或其他后端基础设施。

二、XXE漏洞原理

攻击者通过向服务器注入指定的XML实体内容,从而让服务器按照指定的配置进行执行,从而导致漏洞的产生。即服务器端没有对用户上传的xml数据进行检查控制,导致用户提交的恶意XML被解析。

**
**

三、XXE的防御

**
**

1、使用开发语言提供的禁用外部实体的方法

2、过滤用户提交的XML数据

3、不允许XML中含有自己定义的DTD

**
**

四、XXE漏洞演练

**注意:

**

图片

1、打开pikachu靶场,点击XXE漏洞,根据提示,写入到输入框中的内容,会被进行xml解析,将下面代码写入框中点击提交

图片

<?xml version="1.0"?>  <!DOCTYPE note[   <!ENTITY  example "这是一个内部实体">  ]>   <name>&example;</name>

2、点击提交后,会显示“这是一个内部实体”,

图片

显示出此内容,说明,我们定义的内部实体example已经被成功解析

**
**

3、重新构建xml文件,将DTD实体变为外部实体,代码如下:

<?xml version="1.0"?>  <!DOCTYPE ANY[   <!ENTITY file SYSTEM "file:///F://example.ini">  ]>
  <x>&file;</x>

图片

将xml代码写入提交后,出现如上图所示内容,表明外部实体已经被成功解析,此代码定义的外部实体为本机某盘下的模拟配置文件,实际攻击中将直接获取网站服务器中重要的敏感数据。

学习计划安排

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值