xxe外部实体注入

攻击者可以上传有漏洞的xml 或者可以在原网站的xml文档中添加恶意代码,通过恶意代码或利用上传的xml中的漏洞来对网站服务器进行攻击,这种漏洞叫xxe外部实体注入

 

防范措施:

1、尽可能的使用简单的数据格式,避免对敏感数据进行序列化(序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象)

2、及时更新漏洞补丁

3、在应用程序的所有XML解析器中禁用XML4、外部实体和DTD进程

4、在服务器端实施积极的(“白名单”)输入验证、过滤和清理,以防止在XML文档、标题或节点中存在恶意代码

5、使用api网关或web应用防火墙waf来检测,监控和防止xxe

 

 

你可能感兴趣的:(xxe外部实体注入)