今天繼續(xù)給大家介紹滲透測(cè)試相關(guān)知識(shí)，本文主要內(nèi)容是XXE漏洞挖掘和防護(hù)。

成都創(chuàng)新互聯(lián)堅(jiān)信：善待客戶，將會(huì)成為終身客戶。我們能堅(jiān)持多年，是因?yàn)槲覀円恢笨芍档眯刨嚒Ｎ覀儚牟缓鲇瞥踉L客戶，我們用心做好本職工作，不忘初心，方得始終。十余年網(wǎng)站建設(shè)經(jīng)驗(yàn)成都創(chuàng)新互聯(lián)是成都老牌網(wǎng)站營銷服務(wù)商,為您提供做網(wǎng)站、網(wǎng)站設(shè)計(jì)、網(wǎng)站設(shè)計(jì)、H5響應(yīng)式網(wǎng)站、網(wǎng)站制作、品牌網(wǎng)站建設(shè)、微信小程序定制開發(fā)服務(wù),給眾多知名企業(yè)提供過好品質(zhì)的建站服務(wù)。

免責(zé)聲明：
本文所介紹的內(nèi)容僅做學(xué)習(xí)交流使用，嚴(yán)禁利用文中技術(shù)進(jìn)行非法行為，否則造成一切嚴(yán)重后果自負(fù)！
再次強(qiáng)調(diào)：嚴(yán)禁對(duì)未授權(quán)設(shè)備進(jìn)行滲透測(cè)試！

一、XXE漏洞挖掘

對(duì)XXE類型的漏洞，我們挖掘思路如下所示：

（一）白盒代碼審計(jì)

如果我們能夠拿到目標(biāo)系統(tǒng)源碼，那么我們就可以進(jìn)行白盒代碼審計(jì)。白盒代碼審計(jì)的主要思路有2個(gè)，一個(gè)是針對(duì)XML處理函數(shù)進(jìn)行查找；第二個(gè)是檢查可控變量的格式、傳輸以及使用。

（二）黑盒人工測(cè)試

如果我們拿不到目標(biāo)系統(tǒng)源代碼，那么我們就只能進(jìn)行黑盒測(cè)試。除了利用現(xiàn)有的工具進(jìn)行掃描外，黑盒人工測(cè)試主要是針對(duì)以下幾點(diǎn)：
1、關(guān)注提交數(shù)據(jù)的類型。如果是XML格式的，就可以進(jìn)行測(cè)試。
2、關(guān)注數(shù)據(jù)包的Content-Type值。如果是text/xml或者是application/xml，就可以關(guān)注該數(shù)據(jù)包。還可以嘗試更改Content-Type值，例如原來的Content-type是json，發(fā)送的也是json格式的數(shù)據(jù)，我們將Content-Type類型改為XML，數(shù)據(jù)也改為XML后，嘗試是否可以成功。

二、XXE漏洞防護(hù)

XXE漏洞的防護(hù)，除了傳統(tǒng)的加裝WAF外，主要有以下2種：
1、禁用外部實(shí)體。
如果目標(biāo)站點(diǎn)禁用了外部實(shí)體，那么XXE漏洞就無法造成什么危害了。
PHP站點(diǎn)禁用外部實(shí)體設(shè)置如下所示：

libxml_disable_entity_loader(True);

JAVA站點(diǎn)禁用外部實(shí)體設(shè)置如下所示：

DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance()
dbf.setExpandEntityReferences(False)

Python站點(diǎn)禁用外部實(shí)體設(shè)置如下所示：

from lxml import etree
xmlData=etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、過濾用戶輸入。
但是，如果站點(diǎn)業(yè)務(wù)要求我們不能禁用外部實(shí)體，那么我們就只能對(duì)用戶的輸入進(jìn)行嚴(yán)格的過濾，以期能夠防止用戶輸入能夠引起XXE漏洞的代碼。
原創(chuàng)不易，轉(zhuǎn)載請(qǐng)說明出處：https://blog.csdn.net/weixin_40228200

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級(jí)服務(wù)器適合批量采購，新人活動(dòng)首月15元起，快前往官網(wǎng)查看詳情吧

分享文章：XXE漏洞挖掘和防護(hù)-創(chuàng)新互聯(lián)
本文路徑：http://weahome.cn/article/djggid.html