爱站程序员基地TOP4 XML外部实体(XXE)
XML外部实体攻击是对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。
默认情况下,大多数XML解析器容易受到XXE攻击。因此,确保应用程序不具有此漏洞的责任主要在于开发人员。
XML外部实体攻击媒介
- 如果恶意行为者可以上载XML或在XML文档中包含敌对内容的脆弱的XML处理器
- 易受攻击的代码
- 脆弱的依赖
- 脆弱的整合
那我们又该如何防止呢?
- 尽可能使用不太复杂的数据格式(例如JSON),并避免对敏感数据进行序列化。
- 修补或升级应用程序或基础操作系统上正在使用的所有XML处理器和库。
- 使用依赖性检查器(将SOAP更新为SOAP 1.2或更高版本)。
- 根据OWASP备忘单“ XXE预防”,在应用程序的所有XML解析器中禁用XML外部实体和DTD处理。
- 在服务器端实施肯定的(“白名单”)输入验证,过滤或清理操作,以防止XML文档,标头或节点内的敌对数据。
- 验证XML或XSL文件上传功能是否使用XSD验证或类似方法验证传入的XML。
- SAST工具可以帮助检测源代码中的XXE-尽管手动代码检查是具有许多集成的大型复杂应用程序的最佳选择。
千万小心使用以下措施!!!
- 虚拟补丁
- API安全网关
- Web应用程序防火墙(WAF)
- 点赞
- 收藏
- 分享
- 文章举报
qq_39682037发布了15 篇原创文章 · 获赞 0 · 访问量 236私信关注
