OWASP Top10 系列之 XXE

OWASP Top10 系列 - 注入 - XXE

原理

XXE 全称是 XML 外部实体注入

一句话描述

  • 甲方:对用户输入的 XML 未经过滤直接处理,导致恶意的外部实体时引发安全问题。
  • 乙方:在 XML 中引入外部实体来构造 payload 的攻击方式。

利用

攻击点:任何接受 XML 并进行解析处理的的地方

组件

XML

类型

只有一种:https://www.tr0y.wang/2019/05/03/XXE指北/

工具

xcat:https://github.com/orf/xcat

防御

  • 使用开发语言提供的禁用外部实体的方法
    以 PHP 为例,就是使用高版本的 libxml。其他语言可以参照传送门🚪
  • 过滤用户提交的 XML 数据
    尤其是 DTD 中的 SYSTEMPUBLICENTITY

    来呀快活呀

经验总结
#Web #OWASP Top10 #XXE
OWASP Top10 系列之 XXE
https://www.tr0y.wang/2019/05/03/OWASP-Top10-系列之XXE/
作者
Tr0y
发布于
2019年5月3日
更新于
2024年4月19日
许可协议