本文主要是介绍03-哪些地方存在xxe?架构问题?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
xxe常见场景是如pdf在线解析、word在线解析、定制协议,留言板等,跟逻辑设计有关而与 语言无关,最好是不要让XML作为参数传输或整体结构可被用户篡改。如果一定要使用,至少 要禁用DTD、Entity。
xxe危害 读取本地文件,执行系统命令,探测内网端口,攻击内网服务
探测内网端口的协议有gopher file dict,不同语言支持不同的协议,是具体情况而定file http ftp是常用的
防范,python用lxml时可以对resolve_entities设为false。或者过滤用户提交的xml
客户端也可以有xxe攻击,有的网站会使用office打开docx进行解析
Java解析XML的常用三方库,如果不禁用DTD、Entity都会导致XXE漏洞:
javax.xml.stream.XMLStreamReader; javax.xml.parsers.DocumentBuilderFactory;
这篇关于03-哪些地方存在xxe?架构问题?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
