OWASP Top10 系列之 XXE

OWASP Top10 系列 - 注入 - XXE

原理

XXE 全称是 XML 外部实体注入

一句话描述

  • 甲方:对用户输入的 XML 未经过滤直接处理,导致恶意的外部实体时引发安全问题。
  • 乙方:在 XML 中引入外部实体来构造 payload 的攻击方式。

利用

攻击点:任何接受 XML 并进行解析处理的的地方

组件

XML

类型

只有一种:https://www.tr0y.wang/2019/05/03/XXE指北/

工具

xcat:https://github.com/orf/xcat

防御

  • 使用开发语言提供的禁用外部实体的方法
    以 PHP 为例,就是使用高版本的 libxml。其他语言可以参照传送门🚪
  • 过滤用户提交的 XML 数据
    尤其是 DTD 中的 SYSTEMPUBLICENTITY

    来呀快活呀


本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!