【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611 :Improper Restriction of XML External Entity Reference)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611: Improper Restriction of XML External Entity Reference)
什么是对XML外部实体引用的不当限制?
该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。
XML文档可以选择包含文档类型定义(DTD),该文档类型定义(DTD)除其他功能外,还可以定义XML实体。可以通过提供URI形式的替换字符串来定义实体。XML解析器可以访问此URI的内容,并将这些内容重新嵌入XML文档中以进行进一步处理。
对XML外部实体引用的不当限制构成条件有哪些?
满足以下条件,就构成了一个该类型的安全漏洞:
通过提交使用file:// URI定义外部实体的XML文件,攻击者可以使处理应用程序读取本地文件的内容。例如,诸如“ file:/// c:/winnt/win.ini”之类的URI(在Windows中)指定文件C:\ Winnt \ win.ini,或file:/// etc / passwd指定密码基于Unix的系统中的文件。通过将URI与其他方案(例如http://)一起使用,攻击者可以强制应用程序向攻击者无法直接到达的服务器发出传出请求,这些请求可用于绕过防火墙限制或隐藏攻击源(例如端口扫描)。
读取URI的内容后,会将其反馈回正在处理XML的应用程序中。该应用程序可以回显数据(例如在错误消息中),从而暴露文件内容。
对XML外部实体引用的不当限制漏洞会造成哪些后果?
如果攻击者能够包括精心制作的DTD,并且启用了默认实体解析器,则攻击者可能能够访问系统上的任意文件。
DTD可以包括服务器可以执行的任意HTTP请求。这可能导致利用服务器与其他实体的信任关系的其他攻击。
使用指向大文件的URI或始终返回数据的设备(例如/ dev / random),该软件可能会消耗过多的CPU周期或内存。或者,URI可以引用包含许多嵌套或递归实体引用的文件,以进一步减慢解析速度。
对XML外部实体引用不当限制的防范和修补方法有哪些?
可以将许多XML解析器和验证器配置为禁用外部实体扩展。
对XML外部实体引用的不当限制漏洞样例:
…
protected Comment parseXml(String xml) throws JAXBException, XMLStreamException {var jc = JAXBContext.newInstance(Comment.class);
var xif = XMLInputFactory.newInstance();
var xsr = xif.createXMLStreamReader(new StringReader(xml));
var unmarshaller = jc.createUnmarshaller();
return (Comment) unmarshaller.unmarshal(xsr);
}
…用Wukong(悟空)软件代码安全检测修复系统检测上述程序代码,则可以发现代码中存在着“对XML外部实体引用的不当限制” 导致的代码缺陷,如下图:
对XML外部实体引用的不当限制在CWE中被编号为CWE-611: Improper Restriction of XML External Entity Reference
更多的信息请参考CWE官网:http://cwe.mitre.org/data/definitions/611.html
了解更多安全资讯 请关注公众号 中科天齐软件安全中心
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611 :Improper Restriction of XML External Entity Reference)相关推荐
- 怎么制作睡袋rust_【手工课堂第二十三期】宝宝睡袋DIY
作者:宝宝知道 依米Yimi 大家好,又到我的手工课堂咯!我是依米,热爱手工,有时间必手工,这一期给大家带来宝宝睡觉必备神器:仿踢睡袋.宝宝睡觉前,穿着睡袋来个bedtime story(睡前故事)真 ...
- 【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第三十三期:表达式永假/永真(CWE-570:Expression is Always False)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第十期:日志伪造漏洞(CWE-117: Improper Output Neutralization for Logs)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第十二期:LDAP注入漏洞(CWE-90: Improper Neutralization of Special Elements used in an LDAP Query)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cryptographic Algorithm)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第三十九期:违反信任边界(CWE-501: Trust Boundary Violation)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 机器人按照给定的指令c语言,【高训工控】专业课堂第二十四期——工业机器人调试基础:程序的构造与组成...
原标题:[高训工控]专业课堂第二十四期--工业机器人调试基础:程序的构造与组成 大家好,欢迎来到[高训工控]专业课堂第二十四期,本期为大家带来--工业机器人调试基础:程序的构造与组成 在之前的文章中有 ...
- 第二十三期:2015P2P还会独领风骚吗?
第二十三期:2015P2P还会独领风骚吗? 录制时间:1月9日16:00 嘉宾到达时间:1月9日15:45 主持人:张璐 录棚地点:深圳市福田保税区槟榔道一号,吉虹研发大楼A楼,健康卫视5楼1号大演播 ...
最新文章
- win8配置iis8.0+php+mysql+zend_IIS下配置Php+Mysql+zend的图文教程
- Ubuntu gbk,utf-8 转换
- SAP Spartacus配置后台Commerce Cloud的位置
- web前端最全各类资源
- 远程线程需要注意的问题
- C++ 判断某一个数是否为质数
- 编译原理教程_1 引论
- 巧用 TypeScript(四)
- paip.c3p0 nullpointexcept 配置文件根路径读取bug 解决
- [Groovy]Groovy with Ant Task
- 访问yy直播页面点击播放无响应分析
- 台式计算机c盘怎么清理空间,C盘满了怎么清理?C盘满了清理详细操作步骤(深度清理)...
- java银行账户类_使用Java编写银行账户类(面向对象思考实验)
- 小程序即时配送配置指南
- MySQL5.7.xx安装卡在Staring the server解决方案--亲测有效
- 无法启动因为计算机丢失ac1st16,Win7启动CAD时提示丢失ac1st16.dll如何修复
- android手机使用otg usb手柄
- 通达OA应用中心操作手册
- 解放文件夹下所有层级的特定格式文件,找出文件夹内所有的txt/FLAC/MP4/MP3等等等等,并复制到另一个文件夹中
- java滚动字幕的实现的实训_实现滚动字幕