自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

淺談XXE攻擊

作者:wenjian_tk0
安全 應(yīng)用安全
本文主要討論什么是XML外部實(shí)體,這些外部實(shí)體是如何被攻擊的。

一、介紹

現(xiàn)在越來越多主要的web程序被發(fā)現(xiàn)和報(bào)告存在XXE(XML External Entity attack)漏洞,比如說facebook、paypal等等。 舉個(gè)例子,我們掃一眼這些網(wǎng)站最近獎(jiǎng)勵(lì)的漏洞,充分證實(shí)了前面的說法。盡管XXE漏洞已經(jīng)存在了很多年,但是它從來沒有獲得它應(yīng)得的關(guān)注度。很多XML的解析器默認(rèn)是含有XXE漏洞的,這意味著開發(fā)人員有責(zé)任確保這些程序不受此漏洞的影響。

[[184002]]

本文主要討論什么是XML外部實(shí)體,這些外部實(shí)體是如何被攻擊的。

二、什么是XML外部實(shí)體?

如果你了解XML,你可以把XML理解為一個(gè)用來定義數(shù)據(jù)的東東。因此,兩個(gè)采用不同技術(shù)的系統(tǒng)可以通過XML進(jìn)行通信和交換數(shù)據(jù)。 比如,下圖就是一個(gè)用來描述一個(gè)職工的XML文檔樣本,其中的’name’,'salary’,'address’ 被稱為XML的元素。

Image

有些XML文檔包含system標(biāo)識(shí)符定義的“實(shí)體”,這些XML文檔會(huì)在DOCTYPE頭部標(biāo)簽中呈現(xiàn)。這些定義的’實(shí)體’能夠訪問本地或者遠(yuǎn)程的內(nèi)容。比如,下面的XML文檔樣例就包含了XML ‘實(shí)體’。

Image

在上面的代碼中, XML外部實(shí)體 ‘entityex’ 被賦予的值為:file://etc/passwd。在解析XML文檔的過程中,實(shí)體’entityex’的值會(huì)被替換為URI(file://etc/passwd)內(nèi)容值(也就是passwd文件的內(nèi)容)。 關(guān)鍵字’SYSTEM’會(huì)告訴XML解析器,’entityex’實(shí)體的值將從其后的URI中讀取。因此,XML實(shí)體被使用的次數(shù)越多,越有幫助。

三、什么是XML外部實(shí)體攻擊?

有了XML實(shí)體,關(guān)鍵字’SYSTEM’會(huì)令XML解析器從URI中讀取內(nèi)容,并允許它在XML文檔中被替換。因此,攻擊者可以通過實(shí)體將他自定義的值發(fā)送給應(yīng)用程序,然后讓應(yīng)用程序去呈現(xiàn)。 簡單來說,攻擊者強(qiáng)制XML解析器去訪問攻擊者指定的資源內(nèi)容(可能是系統(tǒng)上本地文件亦或是遠(yuǎn)程系統(tǒng)上的文件)。比如,下面的代碼將獲取系統(tǒng)上folder/file的內(nèi)容并呈獻(xiàn)給用戶。

Image

四、怎么甄別一個(gè)XML實(shí)體攻擊漏洞?

最直接的回答就是: 甄別那些接受XML作為輸入內(nèi)容的端點(diǎn)。 但是有時(shí)候,這些端點(diǎn)可能并不是那么明顯(比如,一些僅使用JSON去訪問服務(wù)的客戶端)。在這種情況下,滲透測試人員就必須嘗試不同的測試方式,比如修改HTTP的請求方法,修改Content-Type頭部字段等等方法,然后看看應(yīng)用程序的響應(yīng),看看程序是否解析了發(fā)送的內(nèi)容,如果解析了,那么則可能有XXE攻擊漏洞。

五、如何確認(rèn)XXE漏洞?

出于演示的目的,我們將用到一個(gè)Acunetix維護(hù)的demo站點(diǎn),這個(gè)站點(diǎn)就是: http://testhtml5.vulnweb.com/。這個(gè)站點(diǎn)可用于測試Acunetix web掃描器的功能。 訪問 http://testhtml5.vulnweb.com/ 站點(diǎn),點(diǎn)擊 ‘Login’下面的 ‘Forgot Password’ 鏈接。注意觀察應(yīng)用程序怎樣使用XML傳輸數(shù)據(jù),過程如下圖所示:

請求:

Image

響應(yīng):

Image

觀察上面的請求與響應(yīng),我們可以看到,應(yīng)用程序正在解析XML內(nèi)容,接受特定的輸入,然后將其呈現(xiàn)給用戶。為了測試驗(yàn)證XML解析器確實(shí)正在解析和執(zhí)行我們自定義的XML內(nèi)容,我們發(fā)送如下的請求

修改后的請求和響應(yīng):

myentity、值為’testing’的實(shí)體

如上圖所示,我們在上面的請求中定義了一個(gè)名為myentity、值為’testing’的實(shí)體。 響應(yīng)報(bào)文清晰地展示了解析器已經(jīng)解析了我們發(fā)送的XML實(shí)體,然后并將實(shí)體內(nèi)容呈現(xiàn)出來了。 由此,我們可以確認(rèn),這個(gè)應(yīng)用程序存在XXE漏洞。

六、如何進(jìn)行XXE攻擊?

  1. Code 1: 
  2.  
  3.      
  4.  
  5.     1. To read files on same server: 
  6.  
  7.      
  8.  
  9.      <?xml version="1.0" encoding="ISO-8859-1"?> 
  10.  
  11.      
  12.  
  13.      <!DOCTYPE foo [  
  14.  
  15.      
  16.  
  17.      <!ENTITY myentity SYSTEM "file:///location/anyfile" >]> 
  18.  
  19.      
  20.  
  21.      <abc>&myentity;</abc> 
  22.  
  23.      
  24.  
  25.     2. To crash the server / Cause denial of service: 
  26.  
  27.      
  28.  
  29.      <?xml version="1.0"?> 
  30.  
  31.      
  32.  
  33.      <!DOCTYPE lolz [ 
  34.  
  35.      
  36.  
  37.      <!ENTITY lol "lol"> 
  38.  
  39.      
  40.  
  41.      <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> 
  42.  
  43.      
  44.  
  45.      <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> 
  46.  
  47.      
  48.  
  49.      <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> 
  50.  
  51.      
  52.  
  53.      <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> 
  54.  
  55.      
  56.  
  57.      <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> 
  58.  
  59.      
  60.  
  61.      <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> 
  62.  
  63.      
  64.  
  65.      <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> 
  66.  
  67.      
  68.  
  69.      <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;"> 
  70.  
  71.      
  72.  
  73.      ]> 
  74.  
  75.      
  76.  
  77.      <lolz>&lol9;</lolz> 

上面樣例代碼1中的XXE漏洞攻擊就是著名的’billion laughs’(https://en.wikipedia.org/wiki/Billion_laughs)攻擊,該攻擊通過創(chuàng)建一項(xiàng)遞歸的 XML 定義,在內(nèi)存中生成十億個(gè)”Ha!”字符串,從而導(dǎo)致 DDoS 攻擊。原理為:構(gòu)造惡意的XML實(shí)體文件耗盡可用內(nèi)存,因?yàn)樵S多XML解析器在解析XML文檔時(shí)傾向于將它的整個(gè)結(jié)構(gòu)保留在內(nèi)存中,解析非常慢,造成了拒絕服務(wù)器攻擊。除了這些,攻擊者還可以讀取服務(wù)器上的敏感數(shù)據(jù),還能通過端口掃描,獲取后端系統(tǒng)的開放端口。

影響:

此漏洞非常危險(xiǎn), 因?yàn)榇寺┒磿?huì)造成服務(wù)器上敏感數(shù)據(jù)的泄露,和潛在的服務(wù)器拒絕服務(wù)攻擊。

補(bǔ)救措施:

上面討論的主要問題就是XML解析器解析了用戶發(fā)送的不可信數(shù)據(jù)。然而,要去校驗(yàn)DTD(document type definition)中SYSTEM標(biāo)識(shí)符定義的數(shù)據(jù),并不容易,也不大可能。大部分的XML解析器默認(rèn)對(duì)于XXE攻擊是脆弱的。因此,最好的解決辦法就是配置XML處理器去使用本地靜態(tài)的DTD,不允許XML中含有任何自己聲明的DTD。

比如下面的Java代碼,通過設(shè)置相應(yīng)的屬性值為false,XML外部實(shí)體攻擊就能夠被阻止。因此,可將外部實(shí)體、參數(shù)實(shí)體和內(nèi)聯(lián)DTD 都被設(shè)置為false,從而避免基于XXE漏洞的攻擊。

以下是代碼的第二段

  1. import javax.xml.parsers.DocumentBuilderFactory; 
  2.  
  3.      
  4.  
  5.     import javax.xml.parsers.ParserConfigurationException; // catching unsupported features 
  6.  
  7.      
  8.  
  9.     ... 
  10.  
  11.      
  12.  
  13.      DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 
  14.  
  15.      
  16.  
  17.      try { 
  18.  
  19.      
  20.  
  21.      // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-general-entities 
  22.  
  23.      
  24.  
  25.      // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-general-entities 
  26.  
  27.      
  28.  
  29.      String FEATURE = "http://xml.org/sax/features/external-general-entities"
  30.  
  31.      
  32.  
  33.      dbf.setFeature(FEATURE, false); 
  34.  
  35.      
  36.  
  37.      // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-parameter-entities 
  38.  
  39.      
  40.  
  41.      // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities 
  42.  
  43.      
  44.  
  45.      FEATURE = "http://xml.org/sax/features/external-parameter-entities"
  46.  
  47.      
  48.  
  49.      dbf.setFeature(FEATURE, false); 
  50.  
  51.      
  52.  
  53.      // Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl 
  54.  
  55.      
  56.  
  57.      FEATURE = "http://apache.org/xml/features/disallow-doctype-decl"
  58.  
  59.      
  60.  
  61.      dbf.setFeature(FEATURE, true); 
  62.  
  63.      
  64.  
  65.      // remaining parser logic 
  66.  
  67.      
  68.  
  69.      ... 
  70.  
  71.      
  72.  
  73.      catch (ParserConfigurationException e) { 
  74.  
  75.      
  76.  
  77.      // This should catch a failed setFeature feature 
  78.  
  79.      
  80.  
  81.      logger.info("ParserConfigurationException was thrown. The feature '" + 
  82.  
  83.      
  84.  
  85.      FEATURE + 
  86.  
  87.      
  88.  
  89.      "' is probably not supported by your XML processor."); 
  90.  
  91.      
  92.  
  93.      ... 
  94.  
  95.      
  96.  
  97.      } 
  98.  
  99.      
  100.  
  101.      catch (SAXException e) { 
  102.  
  103.      
  104.  
  105.      // On Apache, this should be thrown when disallowing DOCTYPE 
  106.  
  107.      
  108.  
  109.      logger.warning("A DOCTYPE was passed into the XML document"); 
  110.  
  111.      
  112.  
  113.      ... 
  114.  
  115.      
  116.  
  117.      } 
  118.  
  119.      
  120.  
  121.      catch (IOException e) { 
  122.  
  123.      
  124.  
  125.      // XXE that points to a file that doesn't exist 
  126.  
  127.      
  128.  
  129.      logger.error("IOException occurred, XXE may still possible: " + e.getMessage());.. } 
責(zé)任編輯:趙寧寧 來源: FreeBuf
XXE漏洞攻擊
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)