当前位置：首页 > news >正文

渗透测试之XEE[外部实体注入]漏洞原理攻击手法 xml语言结构防御手法

news 2026/2/10 13:58:53

原理

XML语言解释

什么是xml语言：

以PHP举例xml外部实体注入

XML语言结构

面试题目

如何寻找xxe漏洞

XEE漏洞修复域防御

提高版本

代码修复

php

java

python

手动黑名单过滤(不推荐)

一篇文章带你深入理解漏洞之 XXE 漏洞 - 先知社区

原理

XXE：XML External Entity 即外部实体简称XXE漏洞
- 从安全角度理解成XML External Entity attack 外部实体注入攻击。
- 由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。

XML语言解释

什么是xml语言：

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。
XML文档结构包括

XML声明

DTD文档类型定义（可选）

文档元素

其实XML是一门语言，类似于html，但是后来主要用xml的文档格式来传输数据，但是现在比较新的系统，大家之前传输数据用的是json了。
现在很多语言里面对应的解析xml的函数默认是
- 禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

以PHP举例xml外部实体注入

以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中
- 默认是禁止解析xml外部实体内容的
- 如果你测试用的php中解析xml用的libxml的版本大于了2.9.1
- 为了模拟漏洞,那么可以通过手动指定LIBXML_NOENT选项开启xml外部实体解析功能。
修改 libxml 版本 PHP版本

XML语言结构

文档结构包含以下三个部分：

Json xml 数据 xml攻击数据格式

外部实体注入攻击

Xml外部实体攻击

内部声明DTD
<!DOCTYPE 根元素 [元素声明]>
引用外部DTD文档
<!DOCTYPE 根元素 SYSTEM "文件名">
<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">内部声明实体
<!ENTITY 实体名称 "实体的值">
引用外部实体
<!ENTITY 实体名称 SYSTEM "URI">
<!ENTITY 实体名称 PUBLIC "public_ID" "URI">调用方式:&实体名称;

DTD 也就是攻击代码

我们在做渗透测试做一个读取文件证明存在这个漏洞就行了

payload如下:
- 而且你需要掌握的代码就这几行，大家最好能够背下来
--------------------------------------------------------------------------------------------
- 声明部分
  
  DTD攻击载荷部分
  
  xml部分

<?xml version = "1.0"?>
<!DOCTYPE note [<!ENTITY hacker "lady_killer9">
]>
<name>&hacker;</name>

如何寻找xxe漏洞

抓包查看accept的头是否接收xml
抓包修改数据类型把json改成xml来传输数据

XEE漏洞修复域防御

提高版本
代码修复

php

libxml_disable_entity_loader(true);

java

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
setFeature("http://xml.org/sax/features/external-general-entities",false)
setFeature("http://xml.org/sax/features/external-parameter-entities",false);

python

from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

手动黑名单过滤(不推荐)

过滤关键词： <!DOCTYPE 、 <!ENTITY SYSTEM 、 PUBLIC

渗透测试之XEE[外部实体注入]漏洞原理攻击手法 xml语言结构防御手法

目录原理 XML语言解释什么是xml语言： 以PHP举例xml外部实体注入 XML语言结构面试题目如何寻找xxe漏洞 XEE漏洞修复域防御提高版本代码修复 php java python 手动黑名单过滤(不推荐) 一篇文章带你深入理解漏洞之 XXE 漏洞 - 先知社区原理 XXE&…...

编程日记 2025/1/22 3:13:59

店铺营业状态设置（day05）

Redis入门 Redis简介 Redis 是一个基于内存的 key-value 结构数据库。Redis 是互联网技术领域使用最为广泛的存储中间件。 Redis是一个基于内存的 key-value 结构数据库。主要特点： 1、基于内存存储，读写性能高 2、适合存储热点数据（热点…...

编程日记 2025/1/22 3:06:52

游戏引擎学习第84天

仓库:https://gitee.com/mrxiao_com/2d_game_2 我们正在试图弄清楚如何完成我们的世界构建上周做了一些偏离计划的工作，开发了一个小型的背景位图合成工具，这个工具做得还不错，虽然是临时拼凑的，但验证了背景构建的思路。这个过…...

编程日记 2025/1/22 2:59:39

快手SDK接入错误处理经验总结（WebGL方案）

1、打包时提示Assets\WebGLTemplates\ks路径下未找到Index.html文件错误处理方法：直接使用Unity默认模板下的Index.html文件即可文件所在路径：Unity安装路径\Editor\Data\PlaybackEngines\WebGLSupport\BuildTools\WebGLTemplates\Default 参考图&a…...

编程日记 2025/1/22 2:58:32

C语言 for 循环：解谜数学，玩转生活！

放在最前面的 🎈 🎈 我的CSDN主页:OTWOL的主页，欢迎！！！👋🏼👋🏼 🎉🎉我的C语言初阶合集：C语言初阶合集，希望能…...

编程日记 2025/1/22 2:56:28

Node.js 与 JavaScript 是什么关系

JavaScript 是一种编程语言，而 Node.js 是 JavaScript 的一个运行环境，它们在不同的环境中使用，具有一些共同的语言基础，但也有各自独特的 API 和模块，共同推动着 JavaScript 在前后端开发中的广泛应用。一、基础语言…...

编程日记 2025/1/22 2:41:09

Java 大视界 -- Java 大数据性能监控与调优：全链路性能分析与优化（十五）

💖💖💖亲爱的朋友们，热烈欢迎你们来到青云交的博客！能与你们在此邂逅，我满心欢喜，深感无比荣幸。在这个瞬息万变的时代，我们每个人都在苦苦追寻一处能让心灵安然栖息的港湾。而我的…...

编程日记 2025/1/22 2:39:06

深入Spring Boot：自定义Starter开发与实践

引言 Spring Boot通过其强大的自动配置机制和丰富的Starter模块，极大地简化了Spring应用的开发过程。Starter模块封装了一组相关的依赖和配置，使得开发者可以通过简单的依赖引入，快速启用特定的功能。然而，除了使用Spring Boot提…...

编程日记 2025/1/22 2:31:58

React 中hooks之useTransition使用总结

目录概述基本用法使用场景最佳实践注意事项概述什么是 useTransition? useTransition 是 React 18 引入的新 Hook，用于标记非紧急的状态更新。它允许组件在状态转换期间保持响应，通过将某些更新标记为"过渡"来推迟它们的渲染。主要特…...

编程日记 2025/1/22 2:30:57

怎样使用树莓派自己搭建一套ADS-B信号接收系统

0 我们知道，ADS-B全称广播式自动相关监视系统，其实就是飞机发出的广播信号，用明码来对外发送自己的位置、高度、速度、航向等信息，是公开信息。连续接收到一架飞机发出的ADS-B信息后，可以通过其坐标点来描绘出飞机的航…...

编程日记 2025/1/22 2:28:54

Chrome谷歌浏览器如何能恢复到之前的旧版本

升级了谷歌最新版不习惯，如何降级版本未完待续。。电脑中的Chrome谷歌浏览器升级到了最新版本，但是有种种的不适应，如何能恢复到之前的旧版本呢？我们来看看操作步骤，而且无需卸载重装。怎么恢复Chrome 之前版本&a…...

编程日记 2025/1/22 2:27:53

路由器旁挂三层网络实现SDWAN互联(爱快SD-WAN)

近期因公司新办公区建设，原有的爱快路由器的SDWAN功能实现分支之间互联的服务还需要继续使用。在原有的小型网络中，使用的爱快路由器当作网关设备，所以使用较为简单,如下图所示。现变更网络拓扑为三层网络架构，但原有的SDWAN分支…...

编程日记 2025/1/22 2:24:48

代码随想录算法训练营第五十五天 |108.冗余连接 109.冗余连接Ⅱ

108.冗余连接： 文章链接题目链接：108.冗余连接思路首先分析题目，给定拥有n个节点和n条边的图，其中图是在原n个节点和n - 1条无环无向图中添加一条边得到的。要求是输出多出的边。（PS：可能会有多个答案…...

编程日记 2025/1/22 2:23:46

Unity补充 -- 协程相关

1.协程。协程并不是线程。线程是主线程之外的另一条代码按照逻辑执行通道。协程则是在代码在按照逻辑执行的同时，是否需要执行额外的语句块。 2.协程的作用。在update执行的时候，是按照帧来进行刷新的，也是按照帧执行代码的。但是又不想…...

编程日记 2025/1/22 2:12:32

【第二十周】U-Net：用于生物图像分割的卷积神经网络

文章目录摘要Abstract文章信息研究动机U-Net网络结构U-Net网络搭建数据增强损失函数转置卷积创新性与不足创新性：不足： 总结摘要 U-Net（Convolutional Networks for Biomedical Image Segmentation）是一种用于图像分割的深度学…...

编程日记 2025/1/22 2:10:25

官方参考文档安装Metricbeat curl -L -O https://artifacts.elastic.co/downloads/beats/metricbeat/metricbeat-7.17.27-linux-x86_64.tar.gztar xzvf metricbeat-7.17.27-linux-x86_64.tar.gz设置 Metricbeat连接到 Elasticsearch 进入metricbeat目录配置metricbeat.yml …...

编程日记 2025/1/22 2:09:21

Pytorch|YOLO

🍨 本文为🔗365天深度学习训练营中的学习记录博客🍖 原作者：K同学啊一、前期准备 1. 设置GPU 如果设备上支持GPU就使用GPU,否则使用CPU import torch import torch.nn as nn import torchvision.transforms as transforms im…...

编程日记 2025/1/22 2:05:14

云计算与物联网技术的融合应用（在工业、农业、家居、医疗、环境、城市等整理较全）

摘要为生产领域带来更加全面和深入的变革。通过云计算平台对物联网数据进行处理和分析，企业可以实现对生产过程的更加精细化的管理和控制。 1. 智能生产调度通过云计算和物联网技术的融合应用，企业可以实现对生产线上各个环节的实时监控和数据分析。…...

编程日记 2025/1/22 1:54:59

基于python+Django+mysql鲜花水果销售商城网站系统设计与实现

博主介绍：黄菊华老师《Vue.js入门与商城开发实战》《微信小程序商城开发》图书作者，CSDN博客专家，在线教育专家，CSDN钻石讲师；专注大学生毕业设计教育、辅导。所有项目都配有从入门到精通的基础知识视频课程&#xff…...

编程日记 2025/1/22 1:52:49

Golang：报错no required module provides package github.com/xx的解决方法

报错问题重现可能的原因及解决方法1. 未初始化 Go 模块解决方法： 2. 没有添加依赖解决方法： 3. 网络问题解决方法： 4. 依赖版本问题解决方法： 5. 包未发布或路径拼写错误解决方法： 6. go mod tidy 未运行解决方法&…...

编程日记 2025/1/22 1:44:36

(LeetCode 每日一题) 3442. 奇偶频次间的最大差值 I (哈希、字符串)

题目：3442. 奇偶频次间的最大差值 I 思路 ：哈希，时间复杂度0(n)。用哈希表来记录每个字符串中字符的分布情况，哈希表这里用数组即可实现。 C版本： class Solution { public:int maxDifference(string s) {int a[26]…...

编程新知 2026/2/7 23:18:31

Prompt Tuning、P-Tuning、Prefix Tuning的区别

一、Prompt Tuning、P-Tuning、Prefix Tuning的区别 1. Prompt Tuning（提示调优）核心思想：固定预训练模型参数，仅学习额外的连续提示向量（通常是嵌入层的一部分）。实现方式：在输入文本前添加可训练的连续向量（软提示），模型只更新这些提示参数。优势：参数量少（仅提…...

编程新知 2026/2/10 1:20:48

R语言AI模型部署方案：精准离线运行详解

R语言AI模型部署方案：精准离线运行详解一、项目概述本文将构建一个完整的R语言AI部署解决方案，实现鸢尾花分类模型的训练、保存、离线部署和预测功能。核心特点： 100%离线运行能力自包含环境依赖生产级错误处理跨平台兼容性模型版本管理# 文件结构说明 Iris_AI_Deployme…...

编程新知 2025/12/6 1:56:35

centos 7 部署awstats 网站访问检测

一、基础环境准备（两种安装方式都要做） bash # 安装必要依赖 yum install -y httpd perl mod_perl perl-Time-HiRes perl-DateTime systemctl enable httpd # 设置 Apache 开机自启 systemctl start httpd # 启动 Apache二、安装 AWStats&#xff0…...

编程新知 2026/1/23 8:33:56

Cinnamon修改面板小工具图标

Cinnamon开始菜单-CSDN博客设置模块都是做好的，比GNOME简单得多！ 在 applet.js 里增加 const Settings imports.ui.settings;this.settings new Settings.AppletSettings(this, HTYMenusonichy, instance_id); this.settings.bind(menu-icon, menu…...

编程新知 2026/1/31 14:56:22