OWASP TOP 10 web安全威胁---D.XML外部实体（XXE） - 走看看

zoukankan html css js c++ java

OWASP TOP 10 web安全威胁---D.XML外部实体（XXE）

D.XML外部实体（XXE）

原理：

攻击者通过向服务器注入指定的xml实体内容，从而让服务器按照指定的配置进行执行，导致问题。

也就是说服务器端接收和解析了来自用户端的xml数据，而又没有做严格的安全控制，从而导致xml外部实体注入。

漏洞产生原因：

XML文档格式的第二部分DTD存在XXE漏洞。

DTD外部引用可支持http、file、ftp等协议。

没有对接受的XML数据做任何安全上的措施。

漏洞利用：

获取http://192.168.18.21/Less49.txt文件信息。

输入

<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY f SYSTEM "http://192.168.18.21/Less49.txt">
]>
<x>&f;</x>

防御措施：

解析xml的函数默认禁止解析外部实体内容。

查看全文

相关阅读:
对象在hibernate中的状态
 Hibernate核心对象
 Hibernate入门步骤及概念
 Hibernate事务、缓存和连接池
 ORACLE数据库入门再在屋里坐会
 CREATE FUNCTION 的用法
 远程操作win的命令窗口
 获取谷歌浏览器cookie的两种方法
 使用selenium.webdriver.common.desired_capabilities获取浏览器日志
 Appium自动测试框架常用API

原文地址：https://www.cnblogs.com/123456ZJJ/p/12956939.html

最新文章
Java Excel
Redis
MySQL
SpringMVC报错
 重构篇
 windows下安装ElasticSearch的Head插件
 一个砍价游戏
 _jdk配置
 MVVM框架第二小章节
 MVVM框架

Copyright © 2011-2022 走看看