OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)

OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)

前言

提示：这里可以添加本文要记录的大概内容：
例如：随着人工智能的不断发展，机器学习这门技术也越来越重要，很多人都开启了学习机器学习，本文就介绍了机器学习的基础内容。

---

提示：以下是本篇文章正文内容，下面案例可供参考

一、XXE是什么？

XML External Entities 简称XXE，攻击者可以上传 XML 或在 XML 文档中包含恶意内容，这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造（SSRF）、从解析器所在机器的角度进行端口扫描以及其他系统影响。

二、什么情况会造成XXE

• 应用程序直接接受 XML 或 XML 上传，尤其是来自不受信任的来源，或将不受信任的数据插入 XML 文档，然后由 XML 处理器解析.
• 应用程序或基于 SOAP 的 Web 服务中的任何 XML 处理器都启用了文档类型定义 (DTD)
• 如果应用程序在单点登录 (SSO) 使用 SAML 进行身份处理。SAML 使用 XML 进行身份断言，因此可能容易受到攻击。
• 如果应用程序使用 1.2 版之前的 SOAP，并且将 XML 实体传递给 SOAP 框架，则它很可能容易受到 XXE 攻击。

三、如何预防

• 尽可能使用不太复杂的数据格式，例如 JSON，并避免敏感数据的序列化。
• 修补或升级应用程序或底层操作系统上使用的所有 XML 处理器和库。使用依赖项检查器。将 SOAP 更新到 SOAP 1.2 或更高版本。
• 根据OWASP 备忘单“XXE 预防”，禁用应用程序中所有 XML 解析器中的 XML 外部实体和 DTD 处理。
• 实施正面（“白名单”）服务器端输入验证、过滤或清理，以防止 XML 文档、标题或节点中的恶意数据。
• 验证 XML 或 XSL 文件上传功能使用 XSD 验证或类似方法验证传入的 XML。
• 使用工具可以帮助检测源代码中的 XXE，尽管在具有许多集成的大型复杂应用程序中，手动代码审查是最佳选择。

总结

本文主要介绍OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)简单介绍，仅供参考，欢迎指正~~