XXE漏洞原理及防御方式。

最新推荐文章于 2025-06-21 13:45:11 发布
最新推荐文章于 2025-06-21 13:45:11 发布
阅读量3.7k 收藏 20
点赞数 4
CC 4.0 BY-SA版权
文章标签: 安全 web安全 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamthe/article/details/121332152

目录

1.xml 简单了解

1.1 xml声明

1.2文档类型定义

1.3文档元素

1.4代码详解

2.DTD两种使用方式

2.1内部声明

2.2外部声明

3.DTD实体

3.1内部实体声明引用

3.2外部实体声明引用

3.3参数实体声明引用

4.XXE漏洞原理

5.XXE漏洞利用

5.1读取本地文件

 5.2读取系统文件

5.3内网IP探测

5.4内网端口探测

5.5无回显读取文件

6.如何检测XXE漏洞

6.1人工

6.2工具

7.如何防御XXE

7.1使用开发语言提供的禁用外部实体的方法

7.2过滤用户提交的XML数据

写这篇文章目的就是想认真理理XEE这个漏洞,因为在学习过程中,听过老师的一些课,看过很多文章解释,我觉得讲的都是很官方话或者专业用语,对于初学者理解很难,可能我理解能力不够哈。以下内容仅仅是我个人理解,以及我个人的比喻,比喻可以让你更好理解这个东西,这是我学习的一个方法,可是使的抽象的东西变得比较具体一些。

1.xml 简单了解

XXE这个漏洞的理解,首先我们了解xml文档,因为该漏洞就是由xml文档引起的

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

这个是大家搜索xml时候出现的专业解释,那我简单粗暴理解就是来传输数据的,不过有自己的格式,就跟文章一样,有标题,有正文,有前言,有目录等等。文章是汉字,xml是代码而已。那么xml的格式是什么样子呢,它比写文章简单,只有三个部分,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。接下来我们介绍这个三个部分干什么的。

1.1 xml声明

就是一个说明,简单介绍自己的,版本信息咯,还有编码信息,一般简单,就像文章标题,反正都得有,就和我一样出门必须的化妆,不然不能见人,哈哈哈,开个玩笑。

1.2文档类型定义

这个就是我们的重点,也是漏洞产生的地方,它有一个简称叫DTD,功能已经说明了文档类型定义,它会定义文档会出现那些子元素、父元素、子元素数据类型、实体等等。!DOCTYPE note 这个note就是父元素,在下面的文档元素里面出现了<note>    </note>,子元素就是note括号里面就是子元素to,from,heading,body。文档元素子元素是在父元素里面的。子元素数据类型#PCDATA,元素格式都一样,就像南天门左右护法,只不过右护法多了一个长枪。有DTD会让你的xml文档更加规范好看,就跟化妆一样,DTD可以让你有一个正确的化妆顺序,呈现完美容颜,而不是所有化妆品堆在脸上,那你就是风华绝代的石榴姐了。

1.3文档元素

当你有个DTD的时候文档元素呈现就会很规范,那么在子元素中间的,比如John可以认为是xml文档的正文了。

1.4代码详解

  1. <?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from+,heading*,body?,(br|b))>
<!--带有子序列的元素,需要按照先后顺序出现;
    to只能出现一次
    from最少出现一次
    heading次数随意
    body出现零次或者一次
    非出现br就出现b
-->
<!--元素约束-->
<!ELEMENT to (#PCDATA)><!--pcdata元素-->
<!ELEMENT from ANY><!--任何内容的元素-->
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
<!ELEMENT br EMPTY><!--空元素-->
<!ELEMENT b EMPTY><!--空元素-->
<!--属性约束-->
<!ATTLIST to number CDATA #REQUIRED><!--必须有属性值出现,且属性值类型为字符串-->
<!ATTLIST from length CDATA "10"><!--默认属性值,不写出属性时属性值为10-->
<!--假如您不希望强制作者包含属性,并且您没有默认值选项的话,请使用关键词 #IMPLIED。-->
<!ATTLIST heading length CDATA #IMPLIED>
<!ATTLIST body length CDATA #FIXED "123"><!--属性拥有固定的值,并不允许作者改变这个值-->
<!ATTLIST br type (check|cash) "cash"><!--属性值可以为check和cash中的一个-->
]>
<note>
<to number="1234">Tove</to>
<from>Jani</from>
<heading length="10">Reminder</heading>
<body length="123">Don't forget me this weekend</body>
<br type="check"/>
</note>

2.DTD两种使用方式

2.1内部声明

<?xml version="1.0"?>
<!DOCTYPE note [
  <!ELEMENT note (to,from,heading,body)>
  <!ELEMENT to      (#PCDATA)>
  <!ELEMENT from    (#PCDATA)>
  <!ELEMENT heading (#PCDATA)>
  &l
最低0.47元/天 解锁文章

200万优质内容无限畅学
XXE漏洞原理防御
z.mumu的博客
07-13 2062
1.XXE漏洞 XXE漏洞就是XML外部实体注入,就是当xml引用外部实体并解析的时候会产生的漏洞xml解析器去获取其中的外部资源并存储到内部实体中,攻击者可引用外部实体对目标进行文件读取、命令执行、DDOS、内网探测等。 2.什么是xml 1.XML 指可扩展标记语言(EXtensible Markup Language)是被设计用来传输和存储数据,而HTML则是被设计用来显示数据。...
XXE漏洞原理、演示与防御
dl71181的博客
03-20 1161
目录: 前言 漏洞原理 Demo演示 如何发现XXE漏洞 XXE其他危害 案例-微信支付的XXE 修复建议 前言: 什么是XXE漏洞XXE全称是——XML External Entity 简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构造恶意内容,就可以导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危...
XXE漏洞原理/防御
热门推荐
wangyuxiang946的博客
07-16 1万+
XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 。
超全XXE注入漏洞实验总结,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
06-21 1100
想要用XXE漏洞搞SSRF,你需要把外部XML实体定义成你要攻击的URL,然后在数据值里使用这个实体。如果应用的响应里能返回你定义的实体,那你就能从响应里看到URL的返回内容,实现和后端系统的双向交互。所以,想要系统地测试XXE漏洞,你可能需要一个一个地测试XML里的每个数据节点,看看哪个会把你的实体内容显示出来。盲XXE漏洞就是应用存在XXE注入,但是不会在响应里返回任何你定义的外部实体的值。文件里包含的换行符。也就是说,应用不会在响应里返回任何你定义的外部实体的值,所以你没法直接读取服务器上的文件。
xxe漏洞的学习与利用总结
weixin_30701575的博客
07-29 2414
前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括...
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2270
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
xxe漏洞原理防御方式
05-25
以下是XXE漏洞防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取本地文件等。 2.使用白名单:仅允许特定的实体和DTD(Document Type Definition)文件,不...
网络安全XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1840
xxe漏洞复现
XXE漏洞深度解析:原理、利用与防御
2402_86373248的博客
04-09 643
3. 文中部分技术原理参考自OWASP XXE防御指南,原文链接:https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html。XXEXML External Entity),全称XML外部实体注入漏洞,是由于应用程序在解析XML输入时未严格限制外部实体加载而导致的安全问题。- 依赖库升级:使用修复XXE的解析库(如Python的defusedxml)。DOCTYPE>声明。
ref:浅谈XXE漏洞攻击与防御
weixin_30762087的博客
05-14 531
ref:https://thief.one/2017/06/20/1/ 浅谈XXE漏洞攻击与防御 发表于2017-06-20 | 分类于web安全 | 热度3189℃ 你会挽着我的衣袖,我会把手揣进裤兜   之前在参加一场CTF竞赛中遇到了xxe漏洞,由于当时并没有研究过此漏洞,解题毫无头绪。为了弥补web安全防御知识以及减少漏洞利用短板,我翻阅了一些...
xxe漏洞原理防御
AoaNgzh的博客
05-06 969
在解析 XML 文档时,如果遇到了一个引用了外部实体的节点,则解析器会去解析这个外部实体,并将其内容替换为实体引用的内容。当解析器解析到这个节点时,就会去解析实体,并将实体的内容替换为节点的内容,最终导致应用程序读取了 /etc/passwd 文件的内容。需要注意的是,以上措施只是一些常见的防范措施,您需要根据具体情况设计和实现适当的防范措施,以保护您的应用程序免受 XXE 漏洞的威胁。采用安全XML 解析器:选择采用安全可靠的 XML 解析器,避免使用老旧的解析器或未经安全验证的解析器。
XXE漏洞防御
慕舟舟的博客
03-24 1329
&xxe;
XXE攻击与防御
qq_56327824的博客
03-26 7453
XXE XXE是一种很常见的漏洞类型危害也挺大的,如果一个web服务器通过用户上传处理XML文件或POST请求时,那么可能就会存在漏洞。 前段时间比较出名的微信支付的xxe漏洞 漏洞简历 XXE就是XML外部实体注入,当服务器允许引用外部实体时,同过构建恶意内容来攻击网站 产生原因 解析xml文件时允许加载外部实体,并且实体的URL支持file://和PHP://等协议,没有过滤用户提交的参数 危害 读取任意文件 执行系统命令 探测内网端口 攻击内网网站 DOS攻击 … 漏洞检测 利用burp检测那些接
xxe的攻击及防御
土拨鼠挖洞中的博客
06-30 6668
xml文档的基础组成XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素; DTD实体DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。 实体又分为一般实体和参数实体1,一般实体的声明语法:&lt;!ENTITY实体名 "实...
XXE漏洞原理分析
YvesHe的专栏
10-16 2521
一.什么是XXE漏洞? 在web攻防中有很多的漏洞,这里就来介绍一种基于XML数据格式的漏洞. 那么大家经常说的XXE漏洞到底是个什么漏洞呢? XML 外部实体漏洞 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >]> <foo>&a
xxe漏洞原理
weixin_48776804的博客
07-26 338
xxe漏洞原理
XXE漏洞原理
2301_80361487的博客
02-01 644
在解析XML文档的过程中,关键字’SYSTEM’会告 诉XML解析器,entityex 实体的值将从其后的URI中读取。5、有些XML解析库支持列目录,攻击者通过列目录、读文件,获取帐号密码后进一步攻击,如读。攻击者通过构造恶意的外部实体,当解析器解析了包含“恶意”外部实体的XML类型文。因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现。攻击者强制XML解析器去访问攻击者指定的本地系统上或是远程系统上的资源内容。进行敏感字符的过滤,从而可以造成命令执行,目录遍历等。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值