XXE

XXE或XML外部实体是2017 OWASP Top10漏洞列表中的新问题。这是基于来自安全问题数据库的直接数据证据而引入的唯一的一个新问题。
2018年11月13日,PhpSpreadsheet 被爆出存在XXE漏洞(CVE-2018-19277),在表格的解压文件中插入UTF-7编码的恶意xml payload,可绕过PhpSpreadsheet 库的安全检查造成XXE攻击。
感觉这个cms漏洞挖的差不多了,Ectouch好歹也是电商网站又不是给我们写bug来学习代码审计的,后面如果没找到什么有趣的漏洞,为了这个系列完整性我也会去审计一些有其他漏洞的cms。
在最近的一次赏金活动中,我发现了一个XML终端,它对XXE漏洞利用尝试给出了有趣的响应。针对这一终端,我没有找到太多的文档记录,只发现了在2016年由一位开发人员做出的记录。
本文用来归纳并深入理解xml语言及其在web环境中可能存在的安全隐患。
某信用卡漏洞:额度可提15万 瞬间被撸走25亿;施耐德电气发布 SoMachine Basic 安全更新,修复一个XXE漏洞;
今日热点:尼日利亚黑客组织再起花式APT攻击;研究人员在大众和奥迪汽车中发现远程利用漏洞,兄弟买车了么?别人家的黑客惹不起系列:美国国家安全局发现黑客可在24小时内将已知漏洞武器化;
PeopleSoft应用程序使用 了很多不同的端点,其中很多端点未经过身份验证。其中也有很多服务是使用了默认密码,导致它在安全方面非常不稳固。本文以一种通用的方式将XXE载荷转换为系统运行命令。
BleepingComputer的安全专家发现了CryptoMix勒索软件的新变种;网络攻击开始针对沙特阿美石油公司安全系统;男子看不惯公司某员工,用网络攻击威胁公司开除并雇佣他。
Apktool未正确解析XML导致XXE漏洞,以下做一个简单的分析和演示。建议开发者和安全分析人员检查Apktool,以及所有集成了Apktool的工具,确保Apktool在v2.2.3及其以上版本。