靶场科普 | XXE漏洞发表时间:2021-04-29 15:02 ![]() ![]() ![]() ![]() 本文由“东塔网络安全学院”总结归纳 ![]() XXE漏洞 今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“XXE漏洞”。 一、实验介绍 1. XXE(XML External Entity Injection):全称XML外部实体注入漏洞。 1) XML (可扩展标记语言,EXtensibleMarkup Language),用于标记电子文件使其具有结构性的标记语言,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 2)DTD(文档类型定义,DocumentType Definition)的作用是定义 XML 文档的合法构建模块,它使用一系列的合法元素来定义文档结构,可以在 XML文档内声明,也可以外部引用。 3)ENTITY(实体),XML中的实体类型,一般有下面几种:字符实体、命名实体(或内部实体)、外部普通实体、外部参数实体。除外部参数实体外,其它实体都以字符(&)开始,以字符(;)结束。 当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 更多基础知识可参考:http://www.w3school.com.cn/xml/xml_intro.asp 二、实验目的 1. 了解xxe漏洞的原理和利用 2. 了解外部实体注入以及xml文档 三、实验步骤 1. 打开实验环境,熟悉此漏洞的利用方法 2. 访问浏览器,使用burp进行抓包; 3.发送到repeter模块,提交payload,读出了密码文件。 四、防御方法 1. 使用开发语言提供的禁用外部实体的方法 2. 过滤用户提交的XML数据 速度登录https://labs.do-ta.com/ GET起来 现在注册,立得50积分哟 ✌
文章分类:
靶场介绍
|