D.XML外部实体(XXE)
原理:
攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。
也就是说服务器端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
漏洞产生原因:
XML文档格式的第二部分DTD存在XXE漏洞。
DTD外部引用可支持http、file、ftp等协议。
没有对接受的XML数据做任何安全上的措施。
漏洞利用:
获取http://192.168.18.21/Less49.txt文件信息。
输入
<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY f SYSTEM "http://192.168.18.21/Less49.txt">
]>
<x>&f;</x>
防御措施:
解析xml的函数默认禁止解析外部实体内容。