XXE(Xml external entity -injection) xml外部实体注入
XML 指可扩展标记语言(eXtensible Markup Language)。 XML 被设计用来传输和存储数据。
xml格式
xml格式中第二部分是文档类型定义
DTD: Document Type Definition即文档类型定义,用来为XML文档定义语义约束。1.DTD内部声明 3.引用公共DTD
可参考
测试payload
]>&f;
外部引用可以支持http,file,ftp等协议。
如果一个接口支持接收xm数据,且没有对xml数据做任何安全上的措施,就可能导致XXE漏洞simplexml_load_string函数转换形式良好的XML字符串为 SimpleXMLElement对象
在PHP里面解析xm用的是 libxml,其在≥29.0的版本中,默认是禁止解析xm!外部实体内容的。 XCE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致攻击者可以构造一个恶意的XML。
后台代码
后台代码如上图所示,如果前端提交了参数为上面的test payload的话,就会将系统文件/etc/passwd 返回,造成敏感信息的泄漏