XXE(XML External Entity 外部实体注入) DTD(Document Type Definition 文档类型定义)用来为XML文档定义语义约束,可以嵌入在XML文档中(内部声明)也可以独立的放在一个文件中(外部引用),由于其支持的数据类型有限,无法对元素或属性的内容进行详细规范 ...
分类:
其他好文 时间:
2018-05-30 13:21:03
阅读次数:
646
在libxml>=2.9.0以后的版本默认不开启外部实体解析,需要添加参数开启 如果有类似如下报错,尝试换/etc/hosts读取,可能是防止指数放大攻击,对内容长度做了限制。 ...
分类:
其他好文 时间:
2018-03-29 10:25:18
阅读次数:
648
现在许多不同的客户端技术都可以使用XMl向业务应用程序发送消息,为了使应用程序使用自定义的XML消息,应用程序必须先去解析XML文档,并且检查XML格式是否正确。当解析器允许XML外部实体解析时,就会造成XXE漏洞,导致服务器被攻击。本期“安仔课堂”,ISEC实验室的李老师为我们详细解析XXE漏洞的 ...
分类:
其他好文 时间:
2018-03-19 16:46:03
阅读次数:
203
1.背景 现在很多应用都存在XXE(XML External Entity attack)漏洞,就是xml外部实体攻击,比如facebook,很多XML的解析器默认是含有XXE漏洞的。 2.xml的定义 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对 ...
分类:
其他好文 时间:
2017-12-28 23:25:48
阅读次数:
502
在正式发布的2017 OWAST Top10榜单中,出现了三种新威胁: A4:XML外部实体注入漏洞(XXE) A8:不安全的反序列化漏洞 A10:不足的记录和监控漏洞 验证XXE: 构造请求 <?xml version="1.0" encoding="ytf-8"?> <!DOCTYPE Anyt ...
分类:
其他好文 时间:
2017-12-02 11:17:24
阅读次数:
129
一、XXE,即XML External Entity,XML外部实体。ENTITY 实体,在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。XML定义了两种类型的ENTITY,一种在XML文档中使用,另一 ...
分类:
其他好文 时间:
2017-10-19 12:28:01
阅读次数:
145
ENTITY 实体 在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。 XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。 ENTITY的定义语法: <!DOC ...
分类:
其他好文 时间:
2017-09-26 21:04:27
阅读次数:
281
XXE (XML External Entity Injection) 0x01 什么是XXEXML外部实体注入若是PHP,libxml_disable_entity_loader设置为TRUE可禁用外部实体注入 0x02 XXE利用 *简单文件读取XMLInject.phploadXML($xml... ...
分类:
其他好文 时间:
2017-07-18 00:01:14
阅读次数:
424
简介 XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。 简单的理解,一个实体就是一个变量,可以在文档中的其他位置引用该变量。 实体主要分为四种: 内置实体 (Built-in entities) 字符实体 (Ch ...
分类:
其他好文 时间:
2017-05-24 12:52:00
阅读次数:
333
外部代理:是与系统交互的外部的人员、组织部门、其他系统或者其他组织,也称为外部实体。简单的说,就是跟我们这个系统打交道的东西。可以是人,可以是系统。一般用矩形表示。 系统:就是你现在想要做的系统。 数据存储:其实就是用来存储信息的。可视为数据库,文件等存储介质都属于这类。 ...
分类:
其他好文 时间:
2017-05-16 20:50:05
阅读次数:
264
