XXE漏洞挖掘和防护

今天继续给大家介绍渗透测试相关知识，本文主要内容是XXE漏洞挖掘和防护。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、XXE漏洞挖掘

对XXE类型的漏洞，我们挖掘思路如下所示：

（一）白盒代码审计

如果我们能够拿到目标系统源码，那么我们就可以进行白盒代码审计。白盒代码审计的主要思路有2个，一个是针对XML处理函数进行查找；第二个是检查可控变量的格式、传输以及使用。

（二）黑盒人工测试

如果我们拿不到目标系统源代码，那么我们就只能进行黑盒测试。除了利用现有的工具进行扫描外，黑盒人工测试主要是针对以下几点：
1、关注提交数据的类型。如果是XML格式的，就可以进行测试。
2、关注数据包的Content-Type值。如果是text/xml或者是application/xml，就可以关注该数据包。还可以尝试更改Content-Type值，例如原来的Content-type是json，发送的也是json格式的数据，我们将Content-Type类型改为XML，数据也改为XML后，尝试是否可以成功。

二、XXE漏洞防护

XXE漏洞的防护，除了传统的加装WAF外，主要有以下2种：
1、禁用外部实体。
如果目标站点禁用了外部实体，那么XXE漏洞就无法造成什么危害了。
PHP站点禁用外部实体设置如下所示：

libxml_disable_entity_loader(True);

JAVA站点禁用外部实体设置如下所示：

DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance()
dbf.setExpandEntityReferences(False)

Python站点禁用外部实体设置如下所示：

from lxml import etree
xmlData=etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、过滤用户输入。
但是，如果站点业务要求我们不能禁用外部实体，那么我们就只能对用户的输入进行严格的过滤，以期能够防止用户输入能够引起XXE漏洞的代码。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200