【Java代码审计 | 第十三篇】XXE漏洞成因、防范及审计思路

原创 已于 2025-03-19 11:42:13 修改 · 1k 阅读 · 14 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#java #XXE

于 2025-03-09 09:26:44 首次发布

未经许可,不得转载。

文章目录

在这里插入图片描述

XXE

XXE(XML External Entity,XML外部实体注入) 是一种安全漏洞,攻击者通过利用XML解析器处理外部实体的功能,读取本地文件、发起网络请求或导致拒绝服务攻击。

XXE的常见攻击场景:
1、读取本地文件:通过加载外部实体,读取服务器上的敏感文件(如/etc/passwd)。
2、发起SSRF攻击:通过外部实体发起网络请求,访问内网服务或云服务元数据。
3、拒绝服务攻击:通过构造恶意的XML实体,消耗服务器资源(如“Billion Laughs”攻击)。

常见的XML解析器

在 Java 语言中,XML 解析主要依赖以下几种方式:

1、DOM(Document Object Model)解析是一种基于树结构的解析方式,它会将整个 XML 文档加载到内存中,并构建成层次化的树形结构。这种方式适用于需要频繁读取和修改 XML 数据的场景,但由于其内存占用较大,不适合解析超大 XML 文件。

2、SAX(Simple API for XML)解析是一种基于事件驱动的解析方式,它逐行读取 XML 文档,并在解析过程中触发相应的事件进行处理。相比 DOM,SAX 解析更加轻量级,不会将整个 XML 加载到内存中,因此适用于大规模 XML 解析任务。但由于 SAX 解析是顺序读取的,不支持随意访问 XML 结构,因此修改操作较为复杂。

3、JDOM 解析是专为 Java 设计的 XML 解析库,提供了一种更简洁且面向对象的方式来操作 XML 文档。JDOM 结合了 DOM 和 SAX 的优点,既可以在内存中构建 XML 结构,也可以基于流式处理,适用于中等规模的 XML 解析任务。

4、DOM4J 解析是 JDOM 的增强版,功能更丰富,性能更优,广泛用于 Java 开发中的 XML 解析和操作。它不仅支持标准 XML 解析,还支持 XPath、XSLT 及多种 XML 处理方式,适用于复杂的 XML 解析需求。

5、Digester 解析是 Apache 开源社区提供的 XML 解析工具,基于 SAX 解析方式封装,能够将 XML 解析并转换为 Java 对象,特别适用于解析配置文件和数据映射等场景。

其中,DOM 和 SAX 是 Java 原生支持的 XML 解析方式,而 JDOM、DOM4J 和 Digester 需要额外引入第三方依赖库。在选择解析方式时,需要根据 XML 文件大小、解析性能、可读性和操作需求等因素进行权衡。

漏洞成因

XXE通常发生在应用程序解析用户提供的XML输入时,未禁用外部实体解析的情况下。

解析XML的Java方法

Java中解析XML的方法有多种,常见的有以下四种:DOM、DOM4J、JDOM 和 SAX。每种方法各有特点,适用于不同的场景。

DocumentBuilder(原生,可回显)

import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;
import org.w3c.dom.Document;
import java.io.StringReader;
import org.xml.sax.InputSource;

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
DocumentBuilder db = dbf.newDocumentBuilder();
StringReader sr = new StringReader(xml_con); // xml_con为XML字符串
InputSource is = new InputSource(sr);
Document document = db.parse(is); // 解析XML并返回Document对象

特点:

  • 基于DOM模型,将整个XML文档加载到内存中,生成一棵DOM树。
  • 可回显:解析后的内容可以通过Document对象进行操作和访问。
  • 适用于需要频繁访问和修改XML内容的场景。

风险:如果未禁用外部实体解析,可能导致XXE漏洞。

SAXReader(DOM4J,第三方库)

import org.dom4j.io.SAXReader;
import org.dom4j.Document;
import javax.servlet.http.HttpServletRequest;

SAXReader saxReader = new SAXReader();
Document document = saxReader.read(request.getInputStream()); // 从请求流中读取并解析XML

特点:

  • 基于DOM4J库,提供更简洁的API。
  • 可回显:解析后的内容可以通过Document对象进行操作和访问。
  • 适用于需要灵活处理XML的场景。

风险:默认情况下支持外部实体解析,需显式禁用以防止XXE漏洞。

SAXBuilder(JDOM,第三方库)

import org.jdom2.input.SAXBuilder;
import org.jdom2.Document;
import javax.servlet.http.HttpServletRequest;

SAXBuilder builder = new SAXBuilder();  
Document document = builder.build(request.getInputStream()); // 从请求流中读取并解析XML

特点:

  • 基于JDOM库,提供更直观的API。
  • 可回显:解析后的内容可以通过Document对象进行操作和访问。
  • 适用于需要快速解析和操作XML的场景。

风险:默认情况下支持外部实体解析,需显式禁用以防止XXE漏洞。

SAXParserFactory(原生,不可回显)

import javax.xml.parsers.SAXParserFactory;
import javax.xml.parsers.SAXParser;
import org.xml.sax.helpers.DefaultHandler;
import javax.servlet.http.HttpServletRequest;

SAXParserFactory factory = SAXParserFactory.newInstance(); 
SAXParser saxParser = factory.newSAXParser();
DefaultHandler handler = new DefaultHandler(); // 自定义处理器
saxParser.parse(request.getInputStream(), handler); // 解析XML并触发处理器事件

特点:

  • 基于SAX模型,采用事件驱动的方式解析XML。
  • 不可回显:解析过程中通过事件回调处理数据,不生成完整的DOM树。
  • 适用于处理大型XML文件或流式数据。

风险:默认情况下支持外部实体解析,需显式禁用以防止XXE漏洞。

其他解析方法如下。

XMLReaderFactory

import org.xml.sax.XMLReader;
import org.xml.sax.helpers.XMLReaderFactory;
import org.xml.sax.InputSource;
import java.io.StringReader;

XMLReader xmlReader = XMLReaderFactory.createXMLReader();
xmlReader.parse(new InputSource(new StringReader(xml_con))); // 解析XML字符串

特点:

  • 基于SAX模型,提供更底层的API。

  • 不可回显:通过事件回调处理数据。

  • 适用于需要自定义解析逻辑的场景。

Digester(Apache Commons Digester)

import org.apache.commons.digester3.Digester;
import java.io.StringReader;

Digester digester = new Digester();
digester.parse(new StringReader(xml_con)); // 解析XML字符串

特点:

  • 基于规则驱动的解析方式,适合将XML映射为Java对象。

  • 不可回显:解析过程中直接生成Java对象。

  • 适用于配置文件解析或数据绑定场景。

支持XInclude的DocumentBuilder

import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;
import org.w3c.dom.Document;
import java.io.StringReader;
import org.xml.sax.InputSource;

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setXIncludeAware(true);   // 支持XInclude
dbf.setNamespaceAware(true);  // 支持命名空间
DocumentBuilder db = dbf.newDocumentBuilder();
StringReader sr = new StringReader(xml_con);
InputSource is = new InputSource(sr);
Document document = db.parse(is);  // 解析XML

特点:

  • 支持XInclude和命名空间,适合处理复杂的XML文档。

  • 可回显:解析后的内容可以通过Document对象进行操作和访问。

  • 适用于需要高级XML特性的场景。

SAXParserFactory与XMLReader结合

import javax.xml.parsers.SAXParserFactory;
import javax.xml.parsers.SAXParser;
import org.xml.sax.XMLReader;
import org.xml.sax.InputSource;
import java.io.StringReader;

SAXParserFactory spf = SAXParserFactory.newInstance();
SAXParser saxParser = spf.newSAXParser();
XMLReader xmlReader = saxParser.getXMLReader();
xmlReader.parse(new InputSource(new StringReader(xml_con))); // 解析XML字符串

特点:

  • 结合SAXParserFactory和XMLReader,提供更灵活的解析方式。
  • 不可回显:通过事件回调处理数据。
  • 适用于需要自定义解析逻辑的场景。

漏洞代码

以下漏洞代码未禁用外部实体解析:

import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import org.w3c.dom.Document;
import java.io.ByteArrayInputStream;
import javax.servlet.http.HttpServletRequest;

public class VulnerableXXE {
    public static void main(String[] args) {
        HttpServletRequest request = getRequest();
        // 从 GET 请求中获取 XML 内容
        String xml = request.getParameter("xml");
        
        if (xml == null || xml.isEmpty()) {
            System.out.println("请提供 XML 内容作为参数");
            return;
        }
        
        try {
            // 创建 DocumentBuilderFactory 对象
            DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
            // 未禁用对外部实体的支持,导致 XXE 漏洞
            DocumentBuilder builder = factory.newDocumentBuilder();

            // 解析用户传递的 XML 内容
            Document document = builder.parse(new ByteArrayInputStream(xml.getBytes()));

            // 输出解析结果
            System.out.println("解析结果:");
            System.out.println(document.getDocumentElement().getTextContent());
        } catch (Exception e) {
            System.err.println("解析 XML 时发生错误:");
            e.printStackTrace();
        }
    }
}

以上未禁用外部实体解析,攻击者可以通过<!ENTITY>标签加载外部文件(如file:///etc/passwd)。

<!ENTITY> 是 XML 中的一个声明,用于定义 实体。在 XML 中,实体可以用于以下目的:引用字符或者字符串;引用外部资源,例如文件或 URL;扩展某些 XML 元素或属性的内容。

payload:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<foo>&xxe;</foo>

防范

禁用外部实体解析、对用户提供的XML输入进行严格的验证、选择默认禁用外部实体解析的库,或在初始化时显式禁用。

例如在使用DocumentBuilderFactory、SAXParserFactory等原生方法时,显式禁用外部实体解析:

factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

审计思路

全局搜索以下关键词:

javax.xml.parsers.DocumentBuilder
javax.xml.parsers.SAXParser
javax.xml.transform.TransformerFactory
javax.xml.validation.Validator
javax.xml.validation.SchemaFactory
javax.xml.transform.sax.SAXTransformerFactory
javax.xml.transform.sax.SAXSource
org.xml.sax.XMLReader
org.xml.sax.helpers.XMLReaderFactory
org.dom4j.io.SAXReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder
javax.xml.bind.Unmarshaller
javax.xml.xpath.XpathExpression
javax.xml.stream.XMLStreamReader
org.apache.commons.digester3.Digester

渗透测试面试题
千寻的博客
12-31 12万+
渗透测试面试题 一.思路流程 1.信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) 子域名收集,旁站,C段等 google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 扫描网站目录结构,爆后台,网站banner,测试文件,...
JAVA XXE 从原理到利用
2401_83799022的博客
05-31 1297
在搜到的文章中有一个令人在意的点,作者提到“由于是java的站,所以利用ftp协议读取文件”,java站和ftp协议有什么关系?简单来说就是将我们原本使用的远程服务器上的dtd变更为了服务器上的本地dtd,去redefine其中的参数实体,再结合报错实现回显。和正常的XXE攻击其实没有太大区别,只是把payload放到了解压后里面的xml中,然后再压缩回到pptx/word/xlsx,上传后在解析过程中就会触发XXE payload。需要关注的是最后一种,参数实体,在实际的XXE攻击中会用到。
XXE漏洞介绍
qq_43355651的博客
06-04 426
如果应用程序没有正确地限制对外部实体的引用,攻击者可以利用XXE漏洞执行各种恶意操作,例如访问敏感文件、执行远程服务请求、甚至可能导致服务器上的拒绝服务攻击。XXE漏洞通常出现在使用XML解析器的应用程序中,尤其是那些允许用户提交或修改XML数据的场景。攻击者可以构造恶意的XML输入,通过外部实体声明来引用外部资源,如果解析器处理这些实体时没有适当的限制,就可能触发XXE攻击。了解XXE漏洞的详细信息并采取适当的预防措施,对于保护您的应用程序免受此类攻击至关重要。
关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补
wtbapi的博客
07-06 6014
7月4日微信发来通知说存在XML实体注入漏洞,请修改。由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实...
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
ShuoGuangNian的博客
07-17 724
Spring IOC对象的模拟实现&避雷一个 dom4j BUG
开源组件风险修复,升级版本就够了吗?
热门推荐
cenlois的博客
03-12 1万+
通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么?近日,开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议,MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报,MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...
xxe漏洞原理及防御
AoaNgzh的博客
05-06 1071
在解析 XML 文档时,如果遇到了一个引用了外部实体的节点,则解析器会去解析这个外部实体,并将其内容替换为实体引用的内容。当解析器解析到这个节点时,就会去解析实体,并将实体的内容替换为节点的内容,最终导致应用程序读取了 /etc/passwd 文件的内容。需要注意的是,以上措施只是一些常见的防范措施,您需要根据具体情况设计和实现适当的防范措施,以保护您的应用程序免受 XXE 漏洞的威胁。采用安全的 XML 解析器:选择采用安全可靠的 XML 解析器,避免使用老旧的解析器或未经安全验证的解析器。
04 渗透测试基础
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
XXE代码审计以及XXE漏洞修复
01-27 2024
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
一文掌握 Java XXE 漏洞原理、利用与防御姿势(非常详细)从零基础到精通,收藏这就够了!
最新发布
Libra1313的博客
06-25 1151
XXE(XML External Entity)漏洞是利用 XML 的“外部实体”功能,让服务器读取本地文件或访问远程地址(如 SSRF)。常见后果:读取文件(等)内网打点(SSRF)内存攻击(DoS)数据外带(OOB 数据 exfiltration)有没有 XML 解析?(关键词+代码)用户能不能控制 XML 内容?有没有禁用外部实体和 DTD?上面主要类型,在代码中未发现的相关配置大概率就有问题黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料。
Java XML漏洞解决方案
我要MEANING
07-23 2810
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
漏洞经验分享丨Java审计XXE,从零基础到精通,收藏这就够了!
Javachichi的博客
03-10 1250
◀Blind XXE
使用JAXP进行SAX解析(XMLReaderFactory、XMLReader 、SAXParserFactory与SAXParser)
u011936164的专栏
10-22 452
SAX解析XML文件采用事件驱动的方式进行,也就是说,SAX是逐行扫描文件,遇到符合条件的设定条件后就会触发特定的事件,回调你写好的事件处理程序。使用SAX的优势在于其解析速度较快,相对于DOM而言占用内存较少。而且SAX在解析文件的过程中得到自己需要的信息后可以随时终止解析,并不一定要等文件全部解析完毕。凡事有利必有弊,其劣势在于SAX采用的是流式处理方式,当遇到某个标签的时候,它并不会记录下以
XXE漏洞:原理、危害与修复方法详解
C_V_Better的博客
02-26 1383
XXE(XML External Entity Injection)漏洞,即XML外部实体注入漏洞。当服务器端解析XML允许外部实体加载时,攻击者在请求中插入的恶意XML外部实体被服务器端加载解析,从而导致任意文件读取、探测内网、执行系统命令等安全问题。XXE漏洞是一种严重的安全漏洞,可能导致任意文件读取、命令执行、拒绝服务攻击和SSRF攻击等危害。通过禁用外部实体、严格输入验证和过滤、安全配置服务器以及升级解析器版本等方法,可以有效防止XXE漏洞的发生。
java审计-XXE
admin741admin的博客
04-13 817
XML是一种非常流行的标记语言,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。而在XXE中最常见的就是通用实体和参数实体。
xxe漏洞详解
2402_89693936的博客
05-23 1038
XXE漏洞XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网扫描、攻击内网等危害。
[20][03][14] XML External Entity Injection(XXE)
安全新司机
05-19 563
文章目录1. 描述2. 场景3. 复现问题3.1 解析 XML 文件或 xml 字符串4. 如何解决 XXE4.1 升级第三方组件版本至安全版本4.2 主动防御外部实体 1. 描述 在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题 2. 场景 解析 xml 字符串 解析 xml 文件 3. 复现问题 3.1 解析 XML 文件或 xml 字符串 待解析 xml 文件,命名为 xxe.xml &
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值