XML注入攻击

Posted 黑客技术爱好者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XML注入攻击相关的知识,希望对你有一定的参考价值。

一、漏洞描述

XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。

二、形成原因

解析xml文件时允许加载外部实体,没有过滤用户提交的参数 。

三、危害性

可以导致信息泄露、任意文件读取、DOS攻击和代码执行等问题。

四、攻击案例

1. 某服务器端的xml文件内容如下,用户可以获取XML解析后的结果:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<!DOCTYPE root [

<!ELEMENT copyright (#PCDATA)>

<!ENTITY file SYSTEM "file:///etc/passwd">

]>

<root version="2.0">

<data>

Here is the file content: &file;

</data>

</root>

服务端解析XML文件的时候请求实体file指定的URI(这里为file:///etc/passwd),并用请求结果替换file实体的引用锚,导致文件读取。

2. 某服务器端的xml文件内容如下 :

<?xml version="1.0" encoding="UTF-8"?>

<USER role="guest">Attacker Text</USER>

此时如果攻击者输入的Attacker Text的内容为 :User1</USER><USER

role="admin">User2 ,那么将会产生如下xml :

<?xml version="1.0" encoding="UTF-8"?>

<USER role="guest">User1</USER>

<USER role="admin">User2</USER>

一旦应用程序读取了这个文件,并且给每个用户分配访问权限时,User2便获得了管理员权限。

五、防御方法

1. 常见的XML解析方法有:DOMDocument、SimpleXML、XMLReader,这三者都基于 libxml 库解析XML,所以均受影响;xml_parse 函数则基于 expact 解析器,默认不载入外部 DTD,则不受影响。可以在php解析xml文件之前使用libxml_disable_entity_loader(true)来禁止加载外部实体(该方法对上述三种 XML解析组件都有效),并使用libxml_use_internal_errors()禁止报错。

2. 对用户的输入做过滤,如<、>、'、"、&等。



扫描二维码

获取更多精彩

信息安全

以上是关于XML注入攻击的主要内容,如果未能解决你的问题,请参考以下文章

xml注入攻击

利用XML外部实体注入XXE攻击漏洞

Web安全注入攻击

XML注入详解xxe攻击利用

小试XML实体注入攻击

注入攻击