XXE漏洞原理与防御

江小悠 19 0

原理:XXE(XML外部实体注入, XML External Entity),应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内 网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。
Java中的xXE支持sun.net.www.protocol里的所有协议:http,https,file,ftp,mailto,jar,netdoc。一般利用file协议读取文件,利用http协议探测内网。

防御:配置XML处理器使用禁用DTD、禁止外部实体解析、通过黑名单过滤用户提交的XML数据。

发表评论 取消回复
表情 图片 链接 代码

分享