XXE(XML外部实体注入):由于在解析XML时未限制对外部实体的处理,导致攻击者通过注入恶意XML数据,引发拒绝服务、文件读取、SSRF、命令执行等严重安全问题 漏洞场景:当数据传输的Content-Type为text/xml或application/xml时,可以针对XML格式的请求进行黑盒测试,检测潜在的XXE漏洞。此外,在文件上传功能中,如果使用插件进行文件解析或预览(如上传Excel文件时),也可能导致文件中的XXE Payload被执行,引发安全风险
XXE(XML外部实体注入):由于在解析XML时未限制对外部实体的处理,导致攻击者通过注入恶意XML数据,引发拒绝服务、文件读取、SSRF、命令执行等严重安全问题
漏洞场景:当数据传输的Content-Type为text/xml或application/xml时,可以针对XML格式的请求进行黑盒测试,检测潜在的XXE漏洞。此外,在文件上传功能中,如果使用插件进行文件解析或预览(如上传Excel文件时),也可能导致文件中的XXE Payload被执行,引发安全风险
XMLReader在处理外部实体和DTD,可能会引发安全漏洞 Run
XMLReader在处理外部实体和DTD,可能会引发安全漏洞
代码审计SINK点: 1、XMLReader 2、SAXReader 3、DocumentBuilder 4、XMLStreamReader 5、SAXBuilder 6、SAXParser 7、SAXSource 8、TransformerFactory 9、SAXTransformerFactory 10、SchemaFactory 11、Unmarshaller 12、XPathExpression
SAXParser是XMLReader的替代品 Run
SAXParser是XMLReader的替代品
SAXParserFactory默认会禁用DTD和外部实体的声明,以确保解析过程的安全性。通过手动设置这些特性,可以确保在解析XML时避免常见的安全漏洞