OWASP Top10 系列之 XXE

Author Avatar
Tr0y 5月 03, 2019 10:26:30 本文共 189 字
  • 文为知己者书
  • 在其它设备中阅读本文章

OWASP Top10 系列 - 注入 - XXE

原理

XXE 全称是 XML 外部实体注入

一句话描述

  • 甲方:对用户输入的 XML 未经过滤直接处理,导致恶意的外部实体时引发安全问题。
  • 乙方:在 XML 中引入外部实体来构造 payload 的攻击方式。

利用

攻击点:任何接受 XML 并进行解析处理的的地方

组件

XML

类型

只有一种:https://www.tr0y.wang/2019/05/03/XXE指北/

工具

xcat:https://github.com/orf/xcat

防御

  • 使用开发语言提供的禁用外部实体的方法
    以 PHP 为例,就是使用高版本的 libxml。其他语言可以参照传送门🚪
  • 过滤用户提交的 XML 数据
    尤其是 DTD 中的 SYSTEMPUBLICENTITY

End

What do you think?

本文标题: OWASP Top10 系列之 XXE
原始链接: http://www.tr0y.wang/2019/05/03/OWASP-Top10-系列之XXE/
发布时间: 2019.05.03-10:26
最后更新: 2019.05.31-16:36
版权声明: 本站文章均采用CC BY-NC-SA 4.0协议进行许可。转载请注明出处!