强力工具助你一臂之力:XXECheck–全面提升XML安全,防护XXE漏洞!

泷羽Sec-track

XXECheck

XXECheck 是一种用于检测和防止 XML 外部实体 (XXE) 注入攻击的安全工具或库,一款XXE漏洞检测工具,支持 DoS 检测(DoS 检测默认开启)和 DNSLOG 两种检测方式,能对普通 xml 请求和 xlsx 文件上传进行 XXE 漏洞检测。

源地址:https://github.com/Weijin-wj/XXECheck

什么是XXE漏洞

XXE(XML External Entity, XML外部实体)漏洞是一种与XML处理相关的安全漏洞。它允许攻击者利用XML解析器中对外部实体的处理能力,通过注入恶意的外部实体,控制目标系统的行为,从而实现信息泄露、拒绝服务(DoS),甚至远程代码执行等攻击

环境准备及错误解决

看看使用帮助 ,如果python3 没有回显,则使用python

python 复制代码
python XXECheck.py -h
python3 XXECheck.py -h

翻译一下

python 复制代码
XXE 漏洞检测工具
选项:
  -h, --help         显示帮助信息并退出
  -t [request,xlsx], --type [request,xlsx]
                     指定操作类型: 'request' 用于正常的请求操作,'xlsx' 用于上传 XLSX 文件。
  -d DNS, --dns DNS  DNS 请求链接。
  -f FILE, --file FILE
                     请求数据文件路径,例如 Burp Intruder 请求包。
  --nodos            禁用 DOS 检测功能。

看看XXECheck.py代码里的内容

首先代码正常运行需要上面的模块,不能有缺失,如果发现有模块缺失的。比如我下面

则需要下载该模块

bash 复制代码
pip install 缺失的模块

全部模块都具备后才可正常使用

使用说明

对普通请求进行检测,指定请求包为 1.txt,-d 添加 dnslog 链接,不加只进行 DoS 检测,如果不想使用 DoS 检测请添加 --nodos

bash 复制代码
python3 XXECheck.py -t request -f 1.txt -d dnslog

如果不指定请求包,则会生成检测 POC,手工检测

bash 复制代码
python3 XXECheck.py -t request -d dnslog

对 xlsx 上传功能进行检测,指定请求包为 1.txt,-d 添加 dnslog 链接,不加只进行 DoS 检测,如果不想使用 DoS 检测请添加 --nodos

bash 复制代码
python3 XXECheck.py -t xlsx -f 1.txt -d dnslog

如果不指定请求包,则会生成带有 POC 的 xlsx 文件,手工检测

bash 复制代码
python3 XXECheck.py -t xlsx -d dnslog

免责声明

  • 本工具仅面向合法授权的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。

  • 在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行测试。

  • 如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。

  • 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。

相关推荐
安全系统学习7 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
2501_9159214310 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9159184110 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9159090614 小时前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9159214316 小时前
请求未达服务端?iOS端HTTPS链路异常的多工具抓包排查记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9160074720 小时前
iOS 接口频繁请求导致流量激增?抓包分析定位与修复全流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
学习溢出21 小时前
【网络安全】持续监控CI/CD:自动发现威胁与IoCs,软件供应链安全
运维·安全·web安全·网络安全·ci/cd
2501_9160137421 小时前
用Fiddler中文版抓包工具掌控微服务架构中的接口调试:联合Postman与Charles的高效实践
websocket·网络协议·tcp/ip·http·网络安全·https·udp
00后程序员张1 天前
调试 WebView 接口时间戳签名问题:一次精细化排查和修复过程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
Whoisshutiao1 天前
Python网安-zip文件暴力破解(仅供学习)
开发语言·python·网络安全