《缺陷周话》第四期:XML外部实体注入 – 互联网安全新媒体平台

代码审计是应用静态阐发发明源代码中安然缺陷的措施,能够帮助开拓或测试职员在软件上线前较为周全地懂得其安然问题,防患于未然,是以不停以来都是学术界和财产界钻研的热点,并且已经成为安然开拓生命周期 SDL 和 DevSecOps 等保障体系的紧张技巧手段。

360代码卫士团队基于自立研发的海内首款源代码安然检测商用对象,以及十余年破绽技巧钻研的积累,推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷,结合实例和对象应用进行具体先容,旨在为广大年夜开拓和安然职员供给代码审计的根基性标准化教程。

一、XML外部实体注入

XML 外部实体注入破绽也便是我们常说的 XXE 破绽。XML 作为一种应用较为广泛的数据传输款式,很多利用法度榜样都包孕有处置惩罚 xml 数据的代码,默认环境下,许多逾期的或设置设置设备摆设摆设欠妥的 XML 处置惩罚器都邑对外部实体进行引用。

假如进击者可以上传 XML 文档或者在 XML 文档中添加恶意内容,经由过程易受进击的代码、依附项或集成,就能够进击包孕缺陷的XML处置惩罚器。XXE 破绽的呈现和开拓说话无关,只如果利用法度榜样中对 xml 数据做懂得析,而这些数据又受用户节制,那么利用法度榜样都可能受到 XXE 进击。本篇文章以 java 法度榜样为例给大年夜家先容 XXE 破绽的成因及修复。XXE 破绽具体请见 CWE-611: Improper Restriction of XML External Entity Reference (‘XXE’)(http://cwe.mitre.org/data/definitions/611.html)。

二、XML外部实体注入

XXE 破绽可能会用于提取数据、履行远程办事器哀求、扫描内部系统、履行回绝办事进击和其他进击。营业影响主要取决于受影响的引用法度榜样和数据保护需求。

2018年至今,CVE 中共有宣布了 92 条破绽信息与其相关。部分CVE如下:

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包