XXE

java的web题一直是菜鸡觉得最难的,网鼎杯也出了一道web的java题,因此想结合以前做的java题来简单谈一谈java安全,那就先从网鼎杯的javafile开始吧。
XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。
@xxlegend在《Weblogic CVE-2019-2647等相关XXE漏洞分析》分析了其中的一个XXE漏洞点,并给出了PoC。刚入手java不久,本着学习的目的,自己尝试分析了其他几个点的XXE并构造了PoC。
XXE或XML外部实体是2017 OWASP Top10漏洞列表中的新问题。这是基于来自安全问题数据库的直接数据证据而引入的唯一的一个新问题。
2018年11月13日,PhpSpreadsheet 被爆出存在XXE漏洞(CVE-2018-19277),在表格的解压文件中插入UTF-7编码的恶意xml payload,可绕过PhpSpreadsheet 库的安全检查造成XXE攻击。
感觉这个cms漏洞挖的差不多了,Ectouch好歹也是电商网站又不是给我们写bug来学习代码审计的,后面如果没找到什么有趣的漏洞,为了这个系列完整性我也会去审计一些有其他漏洞的cms。
在最近的一次赏金活动中,我发现了一个XML终端,它对XXE漏洞利用尝试给出了有趣的响应。针对这一终端,我没有找到太多的文档记录,只发现了在2016年由一位开发人员做出的记录。
本文用来归纳并深入理解xml语言及其在web环境中可能存在的安全隐患。
某信用卡漏洞:额度可提15万 瞬间被撸走25亿;施耐德电气发布 SoMachine Basic 安全更新,修复一个XXE漏洞;
今日热点:尼日利亚黑客组织再起花式APT攻击;研究人员在大众和奥迪汽车中发现远程利用漏洞,兄弟买车了么?别人家的黑客惹不起系列:美国国家安全局发现黑客可在24小时内将已知漏洞武器化;