XXE漏洞利用详情和修复
简介
xxe也就是xml外部实体注入,简单理解就是当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
实验环境
PHP版本:5.5.45
中间件:apache
复现平台:漏洞练习平台
利用详情
复制burp生成的地址 ,然后在xxe payload中替换地址 具体如截图
然后在传到测试接口,这是在没有回显的情况下测试,如果触发就会显示.
(一般测试XXE都没有回显).
要么自己搭建服务测试.
修复方式
直接禁用外部实体引用
小伙伴们可以关注我微信公众号,一起交流进步,有问题直接留言,我能解答,都会免费解答,没有任何套路。