-->

虫虫的技术博客 技术 生活

Monday, March 25, 2019

XXE漏洞解决记录

        内网漏洞平台报了一个XXE漏洞,是我们一个服务域名的根路径,刚一看还以为是弄错了,查了一下代码,果然存在这样的跟路径Controller。看了下逻辑,该服务是用于接收微信的事件通知的,微信是以xml格式提交过来的请求,代码中对XML的解析没有做特殊处理,于是乎。。。
        接到工单后,搜了一下xxe漏洞,简单作个了解,原因XML协议中允许引入外部实体声明。这个外部实体的引用就给了不法分子很大的想象空间。外部的实体引用是个url,写成内部文件路径,可以扫描系统任意路径的文件,写成黑各自己服务的路径,可以收集服务器的信息,写成内网服务地址,可以攻击内网服务,再随意更换ip和端口,可以扫描端口等等。小小一个漏洞,可以利用的地方居然这么多,赶紧修复。


先在本地用postman构造注入的xml内容,模拟注入请求,服务B按预期收到了服务A的请求。

SAXReader reader = new SAXReader();
reader.setFeature("http://xml.org/sax/features/external-general-entities", false); 
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 
Document document = reader.read(xml);

加上以上红色的代码后,再次发送注入请求,服务B不再收到服务A的请求。
自测没问题后,开始上线流程,上完线后,自己用微信关注,取关公众号,服务均能正常接收微信上报过来的事件报文,回归完毕。


参考:
https://blog.csdn.net/zhengpeitao/article/details/82142869
https://www.cnblogs.com/r00tuser/p/7255939.html
https://www.jianshu.com/p/77f2181587a4

2 comments:

  1. The Best Casino Apps in Palm Springs, OK - JTAHub
    The Best Casino 나주 출장안마 Apps in Palm Springs, OK · 10. Slots · 제주 출장마사지 9. Slot Machine · 8. Wild · 7. 포항 출장안마 Real Money 경상북도 출장안마 · 6. Poker 전라남도 출장안마

    ReplyDelete
  2. Caesars Casino and Racetrack – 2021 New Jersey Gambling
    Caesars Resort Casino & Racetrack is https://tricktactoe.com/ the latest casino in New Jersey to undergo febcasino a herzamanindir.com/ comprehensive safety review. https://octcasino.com/ The casino worrione is owned by Caesars

    ReplyDelete

Popular Posts

Copyright © 虫虫的成长历程 | Powered by Blogger Design by PWT | Blogger Theme by NewBloggerThemes.com