XML注入攻击
Posted 黑客技术爱好者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XML注入攻击相关的知识,希望对你有一定的参考价值。
一、漏洞描述
XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。
二、形成原因
解析xml文件时允许加载外部实体,没有过滤用户提交的参数 。
三、危害性
可以导致信息泄露、任意文件读取、DOS攻击和代码执行等问题。
四、攻击案例
1. 某服务器端的xml文件内容如下,用户可以获取XML解析后的结果:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE root [
<!ELEMENT copyright (#PCDATA)>
<!ENTITY file SYSTEM "file:///etc/passwd">
]>
<root version="2.0">
<data>
Here is the file content: &file;
</data>
</root>
服务端解析XML文件的时候请求实体file指定的URI(这里为file:///etc/passwd),并用请求结果替换file实体的引用锚,导致文件读取。
2. 某服务器端的xml文件内容如下 :
<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest">Attacker Text</USER>
此时如果攻击者输入的Attacker Text的内容为 :User1</USER><USER
role="admin">User2 ,那么将会产生如下xml :
<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest">User1</USER>
<USER role="admin">User2</USER>
一旦应用程序读取了这个文件,并且给每个用户分配访问权限时,User2便获得了管理员权限。
五、防御方法
1. 常见的XML解析方法有:DOMDocument、SimpleXML、XMLReader,这三者都基于 libxml 库解析XML,所以均受影响;xml_parse 函数则基于 expact 解析器,默认不载入外部 DTD,则不受影响。可以在php解析xml文件之前使用libxml_disable_entity_loader(true)来禁止加载外部实体(该方法对上述三种 XML解析组件都有效),并使用libxml_use_internal_errors()禁止报错。
2. 对用户的输入做过滤,如<、>、'、"、&等。
扫描二维码
获取更多精彩
信息安全
以上是关于XML注入攻击的主要内容,如果未能解决你的问题,请参考以下文章