测试
一、认识XML和XXEXXE全称XML External Entity Injection,也就是XML外部实体注入攻击,是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。XML语法规则如下:1. 所有的XML元素都必须有一个关闭标签2. XML标签对大小写敏感3. XML必须正确嵌套4. XML属性值必须加引号””5. 实体引用(在标签属性,以及对应的位置值可能会出现<>符号,但是这些符号在对应的XML中都是有特殊含义的,这时候我们必须使用对应html的实体对应的表示,比如<傅好对应的实体就是lt,>符号对应的实体就是gt)6. 在XML中,空格会被保留(案例如:<p>a空格B</p>,这时候a和B之间的空格就会被保留)XML元素介绍XML元素是指从(且包括)开始标签直到(且包括)结束标签的部分。每个元素又有可以有对应的属性。XML属性必须加引号。注意:(1) XML文档必须有一个根元素(2) XML元素都必须有一个关闭标签(3) XML标签对大小写敏感(4) XML元素必须被正确的嵌套(5) XML属性值必须加引号XML DTD介绍
DTD文档类型定义,约束了xml文档的结构。拥有正确语法的XML被称为“形式良好”的XML,通过DTD验证约束XML是“合法”的XML。
DTD是什么?XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD文档类型定义(document type definition) 的东西控制的。DTD用来描述xml文档的结构,一个DTD文档包含:元素的定义规则;元素之间的关系规则;属性的定义规则。DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。他就是长得下面这个样子:内部的 DOCTYPE 声明内部声明DTD类型内部声明DTD类型声明:<!DOCTYPE 根元素[子元素声明]>引用外部实体:我们主要关注XML外部实体的定义和调用方式:<!ENTITY 实体名称 SYSTEM "URI">
DTD数据类型PCDATA的意思是被解析的字符数据/PCDATA的意思是被解析的字符数据,PCDATA是会被解析器解析的文本CDATA的意思是字符数据CDATA是不会被解析器解析的文本,在这些文本中的标签不会被当作标记来对待,其中的实体也不会被展开。DTD实体介绍(实体定义)实体是用于定义引用普通文本或者特殊字符的快捷方式的变量 在DTD中的实体类型,一般分为:内部实体和外部实体,细分又分为一般实体和参数实体。除外部参数实体引用以字符(%)开始外,其它实体都以字符(&)开始,以字符(;)结束。内部实体:<!ENTITY 实体名称 "实体的值">
外部实体:<!ENTITY 实体名称 SYSTEM "URI/URL">外部参数实体:<!ENTITY % 实体名 "实体内容”>防御方法:1. 禁用外部实体2. 过滤和验证用户提交的XML数据3. 不允许XML中含有任何自己声明的DTD4. 有效的措施:配置XML parser只能使用静态DTD,禁止外来引入;对于Java来说,直接设置相应的属性值为false即可
页:
[1]