漏洞挖掘 | 通过错误日志实现XXE外带

主要观点总结

本文介绍了一种发现与处理XML外部实体（XXE）攻击相关的安全问题的过程。文章详细描述了作者如何在项目中利用Java异常在日志文件中输出攻击结果，从而实现了服务器端请求伪造（SSRF）漏洞，并展示了如何通过外部DTD文件触发服务器异常来读取文件。

关键观点总结

关键观点1: XML外部实体（XXE）攻击介绍

XXE是一种安全漏洞，出现在处理XML输入的应用程序中。攻击者可利用应用程序的XML解析器引入外部实体，实现恶意行为，如读取本地文件、发起服务器请求等。

关键观点2: 项目中的安全问题

作者在一个项目中发现了允许上传包含XML标记的schema文件的功能，这可能导致XXE漏洞。作者通过注入XXE负载成功实现了SSRF漏洞，并发现直接读取文件不可行。

关键观点3: 利用服务器日志披露文件

作者发现应用程序具有日志记录功能，并可以显示日志。于是，作者通过创建包含外部DTD的schema文件，利用服务器在处理过程中产生的异常，在日志中披露有价值的信息。

关键观点4: 技术细节与注意事项

文章提供了详细的技术细节和步骤，包括创建schema文件、注入payload、上传文件、触发异常等。同时强调技术仅供安全学习和交流使用，不得用于非法用途和盈利目的。

免责声明