一、XML简介
XML(拓展标记语言)是一种用于存储和传输数据的标记语言。它允许用户自定义标签,以方便地表示数据结构。以下是XML的基本结构:
- 声明:
- DTD(文档类型定义):用于定义XML文档的结构和元素
- 文档元素:XML文档的根元素,如、
等
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE person [<!ENTITY uname "wang"><!ENTITY city SYSTEM "file:///c:/system/win.ini">
]>
<person><name>&uname;</name><age>30</age><address><country>USA</country><city>&city;</city></address>
</person>
二、XXE漏洞的产生及防范
- 产生原因
在使用DTD实例时,若使用了外部实体,并且缺少过滤,就会产生XXE(XML外部实体)漏洞。以下是一个包含XXE漏洞的XML示例:
- 防范方法
(1)禁用外部实体:在解析XML时,设置解析器禁止使用外部实体。
(2)对外部实体进行过滤:对输入的XML数据进行过滤,移除或替换可能引发XXE攻击的实体。
(3)禁止加载外部实体:在配置文件中,关闭对外部实体的支持。
三、逻辑漏洞及修复方式
- 水平越权
现象:查询用户信息时,使用了用户输入的信息作为查询条件,导致用户可以查询到其他用户的信息。
修复方式:使用session中的条件,确保用户只能查询到自己的信息。
- 垂直越权
现象:在权限校验时,没有严格校验,导致低权限用户可以访问高权限资源。
修复方式:加强权限校验,确保用户只能访问对应权限的资源。
持续更新)