OWASP top10(OWASP十大应用安全风险)之A4 XML外部实体(XXE)
2020-03-18 19:09
1316 查看
TOP4 XML外部实体(XXE)
XML外部实体攻击是对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。
默认情况下,大多数XML解析器容易受到XXE攻击。因此,确保应用程序不具有此漏洞的责任主要在于开发人员。
XML外部实体攻击媒介
- 如果恶意行为者可以上载XML或在XML文档中包含敌对内容的脆弱的XML处理器
- 易受攻击的代码
- 脆弱的依赖
- 脆弱的整合
那我们又该如何防止呢?
- 尽可能使用不太复杂的数据格式(例如JSON),并避免对敏感数据进行序列化。
- 修补或升级应用程序或基础操作系统上正在使用的所有XML处理器和库。
- 使用依赖性检查器(将SOAP更新为SOAP 1.2或更高版本)。
- 根据OWASP备忘单“ XXE预防”,在应用程序的所有XML解析器中禁用XML外部实体和DTD处理。
- 在服务器端实施肯定的(“白名单”)输入验证,过滤或清理操作,以防止XML文档,标头或节点内的敌对数据。
- 验证XML或XSL文件上传功能是否使用XSD验证或类似方法验证传入的XML。
- SAST工具可以帮助检测源代码中的XXE-尽管手动代码检查是具有许多集成的大型复杂应用程序的最佳选择。
千万小心使用以下措施!!!
- 虚拟补丁
- API安全网关
- Web应用程序防火墙(WAF)
- 点赞
- 收藏
- 分享
- 文章举报
相关文章推荐
- OWASP top10(OWASP十大应用安全风险)之A6 安全性错误配置(Security Misconfigurations)
- OWASP top10(OWASP十大应用安全风险)之A5 存取控制中断(Broken Access Control)
- OWASP top 10 (2017) 学习笔记--XML外部实体(XXE)
- XML外部实体注入(XXE)
- 十大Web应用安全风险
- OWASP 2013年十大Web应用安全漏洞
- OWASP发布2013年十大Web应用安全漏洞
- XML外部实体引用(XXE,XML External Entity attack)漏洞原理及其预防
- 十大Web应用安全风险
- XXE攻防——XML外部实体注入
- OWASP发布2013年十大Web应用安全漏洞
- Android应用安全之外部动态加载DEX文件风险
- OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
- 转:OWASP发布Web应用程序的十大安全风险
- OWASP发布构建安全Web应用的十大控制措施
- Zend Framework XML外部实体和安全绕过漏洞
- Android应用安全风险与防范
- 如何避免应用安全风险?
- OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
- 最新十大web安全隐患-四年之后_OWASP发布新版本OWASP Top10 2017