XXE外部实体注入漏洞总结

Python微信订餐小程序课程视频

https://edu.youkuaiyun.com/course/detail/36074

Python实战量化交易理财系统

https://edu.youkuaiyun.com/course/detail/35475

XXE

漏洞原理

XXE是xml外部实体注入漏洞，应用程序解析xml输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取，命令执行，内网端口扫描攻击内网网站等危害。

漏洞危害

1. 读取敏感文件。

2. 执行ssrf漏洞，进行内网端口探测，攻击内网网站等。

漏洞检测

1. XInclude攻击

一些应用程序接收用户的数据，在服务端嵌入到xml文档中解析，这时我们无法控制整个xml文档，所以就无法定义或修改DOCTYPE元素。XInclede是xml规范的一部分，允许从子文档中构建xml文档，从而进行攻击。

"http://www.w3.org/2001/XInclude">
"text" href="file:///etc/passwd"/>

2. 利用文件上传来进行xxe攻击

docx和svg等都是基于xml格式，如果图像处理库支持SVG图像，攻击者可以提交恶意的SVG图像，就可以利用文件上传执行xxe攻击。

创建具有xml代码的SVG图像