网络安全检测与防护技术
国家地方联合工程研究中心深圳分中心

靶场科普 | XXE漏洞

发表时间:2021-04-29 15:02
点击上方蓝字关注,更多惊喜等着你


本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳


靶场介绍

XXE漏洞


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“XXE漏洞”。

一、实验介绍

1. XXE(XML External Entity Injection):全称XML外部实体注入漏洞。

1) XML (可扩展标记语言,EXtensibleMarkup Language),用于标记电子文件使其具有结构性的标记语言,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

2)DTD(文档类型定义,DocumentType Definition)的作用是定义 XML 文档的合法构建模块,它使用一系列的合法元素来定义文档结构,可以在 XML文档内声明,也可以外部引用。

3)ENTITY(实体),XML中的实体类型,一般有下面几种:字符实体、命名实体(或内部实体)、外部普通实体、外部参数实体。除外部参数实体外,其它实体都以字符(&)开始,以字符(;)结束。

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

更多基础知识可参考:http://www.w3school.com.cn/xml/xml_intro.asp



二、实验目的

1. 了解xxe漏洞的原理和利用

2. 了解外部实体注入以及xml文档


三、实验步骤

1. 打开实验环境,熟悉此漏洞的利用方法

2. 访问浏览器,使用burp进行抓包;

3.发送到repeter模块,提交payload,读出了密码文件。


四、防御方法

1. 使用开发语言提供的禁用外部实体的方法

2. 过滤用户提交的XML数据


速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌


东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~


微博、腾讯课堂、知乎、今日头条、抖音号:

东塔网络安全学院

哔哩哔哩:东塔网络安全

了解更多活动和咨询欢迎微信添加:dongtakefu


插图5-客服小姐姐微信.jpg

-免费获取学习资料

电子书籍、试听课程-


插图18-东塔安全学员推文底图.png

点击蓝字
分享我们