今天继续给大家介绍渗透测试相关知识，本文主要内容是XXE漏洞挖掘和防护。

成都创新互联坚信：善待客户，将会成为终身客户。我们能坚持多年，是因为我们一直可值得信赖。我们从不忽悠初访客户，我们用心做好本职工作，不忘初心，方得始终。十余年网站建设经验成都创新互联是成都老牌网站营销服务商,为您提供做网站、网站设计、网站设计、H5响应式网站、网站制作、品牌网站建设、微信小程序定制开发服务,给众多知名企业提供过好品质的建站服务。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、XXE漏洞挖掘

对XXE类型的漏洞，我们挖掘思路如下所示：

（一）白盒代码审计

如果我们能够拿到目标系统源码，那么我们就可以进行白盒代码审计。白盒代码审计的主要思路有2个，一个是针对XML处理函数进行查找；第二个是检查可控变量的格式、传输以及使用。

（二）黑盒人工测试

如果我们拿不到目标系统源代码，那么我们就只能进行黑盒测试。除了利用现有的工具进行扫描外，黑盒人工测试主要是针对以下几点：
1、关注提交数据的类型。如果是XML格式的，就可以进行测试。
2、关注数据包的Content-Type值。如果是text/xml或者是application/xml，就可以关注该数据包。还可以尝试更改Content-Type值，例如原来的Content-type是json，发送的也是json格式的数据，我们将Content-Type类型改为XML，数据也改为XML后，尝试是否可以成功。

二、XXE漏洞防护

XXE漏洞的防护，除了传统的加装WAF外，主要有以下2种：
1、禁用外部实体。
如果目标站点禁用了外部实体，那么XXE漏洞就无法造成什么危害了。
PHP站点禁用外部实体设置如下所示：

libxml_disable_entity_loader(True);

JAVA站点禁用外部实体设置如下所示：

DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance()
dbf.setExpandEntityReferences(False)

Python站点禁用外部实体设置如下所示：

from lxml import etree
xmlData=etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、过滤用户输入。
但是，如果站点业务要求我们不能禁用外部实体，那么我们就只能对用户的输入进行严格的过滤，以期能够防止用户输入能够引起XXE漏洞的代码。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200

你是否还在寻找稳定的海外服务器提供商？创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源，准确流量调度确保服务器高可用性，企业级服务器适合批量采购，新人活动首月15元起，快前往官网查看详情吧

当前文章：XXE漏洞挖掘和防护-创新互联
链接地址：http://lszwz.com/article/djggid.html