《Web漏洞防护》读书笔记——第6章,XXE防护
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了《Web漏洞防护》读书笔记——第6章,XXE防护,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2505字,纯文字阅读大概需要4分钟。
内容图文
![《Web漏洞防护》读书笔记——第6章,XXE防护](/upload/InfoBanner/zyjiaocheng/1018/6913cba4dcb5472a83570c5b7cac103f.jpg)
《Web漏洞防护》读书笔记——第6章,XXE防护
XXE介绍
XXE漏洞是指由于在XML文件中注入了外部实体而造成的攻击。
XML介绍:XML是一种用于标记电子文件并使其具有结构性的可扩展标记语言。
由以下几个元素所组成:
XML声明,DTD(跟在XML声明后,程序既可以在内部声明DTD,也可以引用外部的DTD文件),实体(需要在DTD内进行声明,分为内部声明实体、外部引用实体),根元素(XML文件有且仅有一个根元素,可以自定义根元素),元素(XML文件的主体内容,也可以成为XML代码),注释(使用
格式进行注释)。
XXE攻击方式介绍
XXE是一种针对应用程序的解析XML输入的攻击,当输入包含外部实体引用的XML文件到未进行安全配置的XML解析器中,产生此类攻击。
XXE攻击原理:
XML1.0标准定义了XML文档的结构,其中实体是指某种类型的存储单元,其具有各种类型,包括外部通用实体、参数解析实体等。
可以通过已生命的系统标识符访问本地或远程的内容。
系统标识符可以假定为一个URL,在处理实体时,XML解析器会对其进行引用,然后将外部实体命名的地方替换成系统标识符锁引用的内容。
如果系统标识符包含了恶意数据冰杯XML解析器解析,XML解析器可能会泄露无法通过应用程序直接访问的机密数据,类似的攻击同样适用于外部DTD文件包含恶意数据时的情况。
XXE攻击造成的危害
1.泄露本地文件:文件中可能包含敏感信息,如密码和用户私有数据等,可以通过使用file://系统标识符或相对路径引用到相关的文件。
2.CSRF/SSRF攻击:XXE攻击发生在应用程序处理XML文档的过程中,因此攻击者可以使用这个受信任的应用程序来攻击内部的其他系统,可以通过HTTP请求或其他内部服务发起SSRF攻击。
3.命令执行:XXE攻击在特定的环境下可以执行系统命令,如安装了Exptect扩展的PHP环境,使用expect://系统标识符执行系统密令。
4.拒绝服务:XXE攻击可以通过执行特定的操作占用系统大量内存,从而造成系统的瘫痪。
5.内网端口探测:通过访问特定的短偶,来探测端口是否开放的情况。
根据外部实体锁在的位置将XXE分为两种类型:
1.内部XXE:外部实体包含在本地DTD中。
2.外部XXE:外部实体包含在外部的DTD文件中。
XXE攻击的检测
如果代码中包含了XML解析操作,且处理的XML文件能够被用户所控制,同时解析的代码中未禁用DTD或DTD中的外部实体,基本可以认定代码中存在XXE漏洞。JAVA应用程序解析XML会特别受影响,因为大多数JAVA XML解析器默认弃用DTD和DTD外部实体。
检测流程:
1.确定应用中是否包含XML解析的操作。
2.确认服务器需要处理的XML文件是否可以被用户控制。
3.确认XML文件是否允许包含DTD。
4.如果XML文件允许包含DTD,需要确认DTD中是否允许包含外部实体。
5.如果XML文件中允许包含DTD及外部实体,构造函数的XML文件发送到服务端,观察是否会出发XML文件中定义的操作,如果触发了相关操作,则可以断定应用中存在XXE漏洞。
XXE的防护
分成两种情况:
1.禁用DTD:由于外部实体必须注入到DTD中,所以禁用DTD能够防止外部实体的注入。
2.禁用DTD中的外部实体:如果XML文件中不能禁用DTD,可以禁止在DTD中注入外部实体。
内容总结
以上是互联网集市为您收集整理的《Web漏洞防护》读书笔记——第6章,XXE防护全部内容,希望文章能够帮你解决《Web漏洞防护》读书笔记——第6章,XXE防护所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。