古交首页 政务 社会 纵横 关注 文明 出行 曝光 理财 房产  
高清图片 民生 文化 体育 经济 财富 健康 消费  
首页>> 民生 >>正文
你所不知道的XML安全
2019-10-08 19:43:06  来源:人民网 
你所不知道的XML安全

你所不知道的XML安全

你所不知道的XML安全


0x00 XML简介


XML 可扩展标记语言,被设计用来传输和存储数据。其形式多样


例如:

1.文档格式(OOXML,ODF,PDF,RSS,DOCX...) 2.图片格式(SVG,EXIF Headers,...) 3.配置文件(自定义名字,一般是.xml) 4.网络协议(WebDAV,CalDAV,XMLRPC,SOAP,REST,XMPP,SAML,XACML,...)


某些在XML中被设计出来的特性,比如 XML schemas(遵循XML Schemas 规范)和documents type definitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML的攻击上。


其实XML实体机制很好理解,可以直接用“转义”来理解:&#x25&foo从原始意义上来说是一样的,只是后者是由我们自己来定义任意内容。


拿DTD来说,DTD中能声明实体来定义变量(或是文字类的宏),以便在接下来的DTD或者XML文档中使用。一般实体在DTD中定义,用来访问内部资源,获取里面的文字并用来替换自己的xml文档,而外部实体用来访问外部资源(也就是说,这些资源能来自本地计算机,也可以是远程主机)。在解析外部实体的过程中,XML的分析器可能会使用众多网络协议和服务(DNS,FTP,HTTP,SMB等等)这取决于URLs里面被指定成什么。外部实体用来处理那些实时更新的文档是很有用的,然而,攻击也能在解析外部实体的过程中发生。

攻击手段包括:

读取本地文件(可能包含敏感信息 /etc/shadow) 内存侵犯 任意代码执行 拒绝服务


本文将对长期以来出现的xml攻击方法进行一个总结。


0x01 初识XML外部实体攻击


基于外部实体的文件包含


最早被提出的XML攻击方法是利用外部实体的引用功能来实现任意文件读取

1


相关阅读:
变频恒压供水设备 http://fybymdh.51sole.com

作者:admin
你所不知道的XML安全
2017年全国爱耳日宣传标语25条
描写中秋的好词好句好段落
驻村民警述职述廉报告
天堂or地狱的声音
1
 
怎样胎心监护一次通过
轮状病毒症状
如果你打算要“二胎”, 备孕前要弄清楚6个问题!
师傅与学徒
县教育局2013年教育宣传工作总结
实践杯征文《亲情?爱》
2016年教师年度考核个人总结范本
学校宣传工作总结4篇
孕晚期b超单怎么分辨男女
酷开系统技术助力江苏有线 深挖大屏运营市场金矿
 
1
1
远望3号船正在南太平洋海域进行卫星发射海上...
大学一寝室5人考研 初试成绩均超400分走红
成功的捷径
木琳野(二)
女子“陌陌”交友被盗 民警网上钓出嫌疑人
行政处秘书个人工作工作总结
观《老夫子反斗侦探》有感
北京养老卡余额可以购买养老服务
胸前长的白癜风该怎样治疗好
小学生暑假作文:美丽的木兰花
1  
1
1
你所不知道的XML安全
技术培训的总结
如果你打算要“二胎”, 备孕前要弄清楚6个问题!
安博的应用型大学建设暨“互联网+”创新创业人才培养新思路
安徽省安庆市多措并举加强监管实现电梯质量安全水平全面提升
报告称今年房价软着陆 中小城市楼市承受重压
北京养老卡余额可以购买养老服务
师傅与学徒
写物品的作文:邮票
强化措施 确保完成全年财政收入任务
Copyright © 2003-2014 rsosc.cn All rights reserved. 枝江日报社主办 枝江新闻网版权