XXE漏洞小结

中午睡醒,被李老师急促的叫醒。赶紧看一下群里智深发的,看下我们支付有没有这个问题。听到这个声音,慌得一笔。
赶紧看看:
https://mp.weixin.qq.com/s?__biz=MzIyMDEzMTA2MQ==&mid=2651149767&idx=1&sn=8ccb13feeaa5f24764b20fd83e9fd869&chksm=8c214e5dbb56c74b980b111d4ced55cd94c88ab1bb84212c9d2b6fc34a8d13c0daa0ae1ba7a6&mpshare=1&scene=1&srcid=0704RRY3TDimInA44biIaNnH&rd2werd=1#wechat_redirect

看了一下,然后雨嘉也做了测试,确实有这个问题:
原因在于:
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

XXE的攻击与危害(XML External Entity)

1,何为XXE?

答: xxe也就是xml外部实体注入。也就是上文中加粗的那一部分。

2,怎样构建外部实体注入?

方式一:直接通过DTD外部实体声明
方式二:通过DTD文档引入外部DTD文档,再引入外部实体声明
方式三:通过DTD外部实体声明引入外部实体声明
好像有点拗口,其实意思就是先写一个外部实体声明,然后引用的是在攻击者服务器上面的外部实体声明
具体看例子,XML内容

3,产生哪些危害?

XXE危害1:读取任意文件
XXE危害2:执行系统命令
XXE危害3:探测内网端口
XXE危害4:攻击内网网站

如何防御xxe攻击

方案一、使用开发语言提供的禁用外部实体的方法
方案二、过滤用户提交的XML数据
关键词:

        SAXReader reader = new SAXReader();
        // 是否包含外部生成的实体。当正在解析文档时为只读属性,未解析文档的状态下为读写
        reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
        // 是否包含外部的参数,包括外部DTD子集。当正在解析文档时为只读属性,未解析文档的状态下为读写。
        reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        Document document = reader.read(xml);

参考:
https://www.cnblogs.com/r00tuser/p/7255939.html
https://security.tencent.com/index.php/blog/msg/69

你可能感兴趣的:(web开发)