Exemple d'analyse de la vulnérabilité d'injection d'entité externe XML

1. La vulnérabilité d'injection d'entité externe XML

La vulnérabilité d'injection d'entité externe XML est ce que nous appelons souvent la vulnérabilité XXE. XML est un format de transmission de données largement utilisé et de nombreuses applications contiennent du code pour traiter les données XML. Par défaut, de nombreux processeurs XML obsolètes ou mal configurés feront référence à des entités externes.

Si un attaquant peut télécharger ou ajouter du contenu malveillant à un document XML, via un code, des dépendances ou des intégrations vulnérables, il peut attaquer un processeur XML défectueux. L'apparition de vulnérabilités XXE n'a rien à voir avec le langage de développement. Tant que les données XML sont analysées dans l'application et que les données sont contrôlées par l'utilisateur, l'application peut être vulnérable aux attaques XXE. Cet article prend le programme Java comme exemple pour présenter les causes et les réparations des vulnérabilités XXE. Pour plus de détails sur la vulnérabilité XXE, veuillez consulter CWE-611 : Restriction inappropriée de la référence d'entité externe XML (« XXE ») (http://cwe.mitre.org/data/definitions/611.html).

2. L'injection d'entités externes XML

Les vulnérabilités XXE peuvent être utilisées pour extraire des données, effectuer des requêtes sur un serveur distant, analyser des systèmes internes et effectuer refus d'attaques de service et autres attaques. L'impact commercial dépend principalement des référents concernés et des besoins en matière de protection des données.

Depuis 2018, un total de 92 informations de vulnérabilité qui y sont liées ont été publiées dans CVE. Certains CVE sont les suivants :

CVE-2018-13439CVE-2018-1000548CVE-2018-1364

3. Exemple de code

3.1 Code de défaut

La source de l'exemple de code utilisé dans cette section se trouve un SDK Java de paiement open source (https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1), nom du fichier source : WXPayUtil.java, chemin du fichier : java -sdk-v3srcmainjavacomgithubwxpaysdk .

Dans le code ci-dessus, vous pouvez voir que les données sont transmises via le paramètre formel xmlToMap à la ligne 25. Les données ne sont filtrées dans aucun manière, et le processeur XML n'est pas Pour effectuer les paramètres de sécurité, les données sont analysées à la ligne 32. Dans le scénario réel, les paramètres strXML 也是受攻击者控制的，这样攻击者可能通过构造恶意的 strXML sont utilisés pour effectuer des attaques XXE.

Utilisez 360 ​​Code Guard pour détecter l'exemple de code ci-dessus, et vous pourrez détecter le défaut "injection d'entité externe XML à risque" à la ligne 32 du fichier. Comme le montre la figure 1 :

Figure 1 Injection d'entité externe XML à risque détectée

3.2 Code de correction# 🎜🎜#

La 28ème ligne du code de correctif ci-dessus utilise une classe d'outils XML WXPayXmlUtil, utilisé pour générer un processeur XML sécurisé. La chose la plus critique dans la classe WXPayXmlUtil est la ligne 16, qui utilise setFeature pour désactiver complètement DTDS dans le processeur XML généré. Comme le montre la figure 2, 360 Code Guard n'a pas détecté de défauts dans le code réparé.

Figure 2 Exemple de réparation de vulnérabilité XXE

4. Comment éviter la vulnérabilité XXE# 🎜 🎜#Méthodes d'évitement courantes :

1. Utilisez autant que possible des formats de données simples (tels que JSON) pour éviter de sérialiser les données sensibles ; 🎜#

2. Corrigez ou mettez à jour en temps opportun tous les processeurs et bibliothèques XML utilisés par les applications ou les systèmes d'exploitation sous-jacents. En même temps, mettez à jour SOAP vers la version 1.2 ou supérieure via la détection des dépendances ;

3. Désactivez les entités externes XML et les processus DTD dans tous les analyseurs XML de l'application. Pour une implémentation spécifique, veuillez vous référer à " OWASP. Aide-mémoire 'XXE Prevention'》(https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet)

Le code suivant est une précaution lors de l'utilisation de DocumentBuilderFactory pour analyser du XML dans un application java Exemples de vulnérabilités XXE :

4. Validation des entrées : utilisez des listes blanches côté serveur pour la validation et le filtrage des entrées afin d'éviter les erreurs dans les documents XML, en-têtes ou des données malveillantes apparaissent dans le nœud.

5. Validez XML et Pour vérifier et exploiter les vulnérabilités XXE, les outils ASAT peuvent être utilisés pour découvrir les vulnérabilités XXE en détectant les dépendances et les configurations de sécurité.

CVE-2018-8027#🎜🎜 ## 🎜🎜#Apache Camel 2.20.0 à 2.20.3 et 2.21.0 Core présente une vulnérabilité XXE dans le processeur de validation XSD.
Il existe une vulnérabilité XXE dans la classe WXPayUtil dans le paiement WeChat SDK Java.
Dans Umlet avec un numéro de version inférieur à 14.3, il existe une vulnérabilité d'injection d'entité externe XML dans l'analyse de fichiers, ce qui peut conduire à une fuite de données confidentielles, à un déni de service et à une falsification de requêtes côté serveur. Cette attaque peut être effectuée via un fichier UXF spécialement conçu.
IBM Content Bavigator versions 2.0 et 3.0 sont vulnérables au XML lors du traitement des données XML Entité externe (XXE) attaques. Un attaquant distant pourrait exploiter cette vulnérabilité pour exposer des informations sensibles ou occuper des ressources mémoire.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!