XML外部实体与远程文件包含攻击的区别
XML外部实体与远程文件包含攻击的区别
提问于 2018-01-27 19:37:56
我只是在研究XML外部实体攻击和远程文件包含攻击。
根据我的理解,XML外部实体攻击是指web应用程序中的XML解析器可以选择启用外部实体,攻击者可以从远程服务器解析外部XML并执行命令或读取本地系统文件。
虽然远程文件包含攻击是攻击者能够让系统执行位于远程服务器上的文件的地方,但该文件的内容也可能是恶意的,攻击者可以访问系统级别的文件,甚至可以使用此漏洞安装后门。
我无法区分XML外部实体攻击和远程文件包含攻击,因为这两种攻击都意味着远程文件执行可能导致信息泄漏。
回答 1
Security用户
发布于 2018-01-28 00:56:19
远程文件包含最臭名昭著的编程语言是PHP。下面是维基百科文章"文件入侵漏洞“中php远程文件包含漏洞的PHP示例代码。在本例中,包含来自外部服务器的代码,因此它由易受攻击的应用程序运行。远程文件包含是远程代码执行类漏洞。
XXE (XML外部实体)漏洞也可以类似于上面的示例。下面是OWASP的一个示例
]>
&xxe;
mypassexpect方案执行命令(在OS级别,而不是作为PHP代码)。PHP有一个文档,它解释了expect方案是如何使用的。
但是,如果我们从PHP中移除焦点,并且通常查看web应用程序,那么XXE通常只能被滥用来查看本地文件(或易受攻击的web应用程序具有网络访问权限的远程文件)。通常使用以下有效载荷完成:
]>&xxe;XXE的另一种误用情况是,它可以使用GET方法触发对内部web应用程序的敏感调用。例如:
]>&xxe;但底线是远程文件包含和XXE是无关的。两者都可能导致远程代码执行。但是通常,远程文件包含是远程代码执行,XXE被滥用于从本地文件(服务器上)窃取数据。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/178566
复制相关文章
相似问题
腾讯云开发者
