Web Security 魔法使攻略─XXE - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

第 11 屆 iThome 鐵人賽

DAY 24

1

Security

Web Security 魔法使攻略系列第 24 篇

Web Security 魔法使攻略─XXE

11th鐵人賽

團隊魔喵戰隊

2019-10-10 16:06:52

918 瀏覽

分享至

正文

XXE

XML External Entity (XXE)
XML 外部實體注入

「介紹 XXE 之前要先知道 XML 是什麼」

XML

可延伸標記式語言（Extensible Markup Language)
利用電腦理解的符號，讓電腦可以處理這些資訊
結構
- 宣告 ( prolog )
- <?xml version="1.0"?>
- 第一行會告訴大家我一個 XML ，請用 XML 的規則解析我

文件類型定義（DTD）

用來定義類型

內部實體 vs 外部實體

內部實體
- <!ELEMENT name "hello">
外部實體
- <!ELEMENT name SYSTEM "網址">
- <!ELEMENT name PUBLIC "hello" "網址">

XXE 攻擊

SSRF
- <!ELEMENT name SYSTEM "http://127.0.0.1/hello.php">
RCE
- <!ELEMENT name SYSTEM "expect://id">
讀原始碼
- <!ELEMENT name SYSTEM "php://filter/read=convert.base64- encode/resource=index.php">

防範方法

關閉 DTD ( Data Type Definition )
- 禁止外部實體的方法
- 可讓解析器較安全
- 降低 DOS 攻擊
libxml2
- 解析 XML 函式庫
- 設定
  - XML_PARSE_NOENT
  - XML_PARSE_DTDLOAD

Web Security 魔法使攻略─不安全的 API

Web Security 魔法使攻略─CRLF Injection

系列文

Web Security 魔法使攻略共 30 篇

目錄

RSS系列文訂閱系列文

57 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22198 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙