ToB企服应用市场:ToB评测及商务社交产业平台

标题: 强力工具助你一臂之力：XXECheck–全面提升XML安全，防护XXE漏洞！ [打印本页]

---

作者: 美食家大橙子    时间: 11 小时前
标题: 强力工具助你一臂之力：XXECheck–全面提升XML安全，防护XXE漏洞！

泷羽Sec-track

XXECheck

XXECheck 是一种用于检测和防止 XML 外部实体 (XXE) 注入攻击的安全工具或库，一款XXE漏洞检测工具，支持 DoS 检测（DoS 检测默认开启）和 DNSLOG 两种检测方式，能对平凡 xml 哀求和 xlsx 文件上传进行 XXE 漏洞检测。
源地址：https://github.com/Weijin-wj/XXECheck
什么是XXE漏洞

XXE（XML External Entity,  XML外部实体）漏洞是一种与XML处理相干的安全漏洞。它允许攻击者使用XML剖析器中对外部实体的处理本领，通过注入恶意的外部实体，控制目标体系的行为，从而实现信息泄漏、拒绝服务（DoS），甚至远程代码执行等攻击
环境预备及错误办理

看看使用帮助 ，假如python3没有回显，则使用python

1. python XXECheck.py -h
2. python3 XXECheck.py -h

复制代码

翻译一下

1. XXE 漏洞检测工具
2. 选项：
3.   -h, --help         显示帮助信息并退出
4.   -t [request,xlsx], --type [request,xlsx]
5.                      指定操作类型: 'request' 用于正常的请求操作，'xlsx' 用于上传 XLSX 文件。
6.   -d DNS, --dns DNS  DNS 请求链接。
7.   -f FILE, --file FILE
8.                      请求数据文件路径，例如 Burp Intruder 请求包。
9.   --nodos            禁用 DOS 检测功能。

复制代码

看看XXECheck.py代码里的内容

首先代码正常运行需要上面的模块，不能有缺失，假如发现有模块缺失的。比如我下面

则需要下载该模块

1. pip install 缺失的模块

复制代码

全部模块都具备后才可正常使用
使用说明

对平凡哀求进行检测，指定哀求包为 1.txt，-d 添加 dnslog 链接，不加只进行 DoS 检测，假如不想使用 DoS 检测请添加 --nodos

1. python3 XXECheck.py -t request -f 1.txt -d dnslog

复制代码

假如不指定哀求包，则会生成检测 POC，手工检测

1. python3 XXECheck.py -t request -d dnslog

复制代码

对 xlsx 上传功能进行检测，指定哀求包为 1.txt，-d 添加 dnslog 链接，不加只进行 DoS 检测，假如不想使用 DoS 检测请添加 --nodos

1. python3 XXECheck.py -t xlsx -f 1.txt -d dnslog

复制代码

假如不指定哀求包，则会生成带有 POC 的 xlsx 文件，手工检测

1. python3 XXECheck.py -t xlsx -d dnslog

复制代码

免责声明

• 本工具仅面向合法授权的企业安全建立行为，如您需要测试本工具的可用性，请自行搭建靶机环境。
  
• 在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行测试。
  
• 如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。
  
• 除非您已充分阅读、完全明白并接受本协议全部条款，否则，请您不要使用本工具。您的使用行为或者您以其他任何明示或者默示方式表现接受本协议的，即视为您已阅读并同意本协议的约束。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4