XXE (XML Enternal Entity Injection)
  XXE(XML外部实体注入):由于在解析XML时未限制对外部实体的处理,导致攻击者通过注入恶意XML数据,引发拒绝服务、文件读取、SSRF、命令执行等严重安全问题
  漏洞场景:当数据传输的Content-Type为text/xml或application/xml时,可以针对XML格式的请求进行黑盒测试,检测潜在的XXE漏洞。此外,在文件上传功能中,如果使用插件进行文件解析或预览(如上传Excel文件时),也可能导致文件中的XXE Payload被执行,引发安全风险

漏洞场景:XMLReader

XMLReader在处理外部实体和DTD,可能会引发安全漏洞

tips
代码审计SINK点:
  1、XMLReader
  2、SAXReader
  3、DocumentBuilder
  4、XMLStreamReader
  5、SAXBuilder
  6、SAXParser
  7、SAXSource
  8、TransformerFactory
  9、SAXTransformerFactory
  10、SchemaFactory
  11、Unmarshaller
  12、XPathExpression

缺陷代码

漏洞场景:SAXParser

SAXParser是XMLReader的替代品

tips
  SAXParserFactory默认会禁用DTD和外部实体的声明,以确保解析过程的安全性。通过手动设置这些特性,可以确保在解析XML时避免常见的安全漏洞

缺陷代码