XXE漏洞：原理、危害与修复方法详解

Java皇帝

已于 2025-03-07 11:16:46 修改

阅读量790

点赞数 9

分类专栏： java 异常与解法文章标签： java 开发语言后端 python php 架构

于 2025-02-26 15:00:26 首次发布

本文链接：https://blog.youkuaiyun.com/C_V_Better/article/details/145879059

版权

java 同时被 2 个专栏收录

201 篇文章

订阅专栏

异常与解法

15 篇文章

订阅专栏

一、XXE漏洞概述

XXE（XML External Entity Injection）漏洞，即XML外部实体注入漏洞。当服务器端解析XML允许外部实体加载时，攻击者在请求中插入的恶意XML外部实体被服务器端加载解析，从而导致任意文件读取、探测内网、执行系统命令等安全问题。

二、XXE漏洞原理

XML允许在DOCTYPE中定义实体，包括引用外部资源。例如：

<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<data>&xxe;</data>

当XML解析器解析到&xxe;时，会尝试读取/etc/passwd文件并将其内容包含在响应中，攻击者就可以获取服务器上的用户信息。

三、XXE漏洞危害

1. 任意文件读取

攻击者可以通过构造恶意XML外部实体，读取服务器上的敏感文件，如配置文件、数据库文件等。

2. 命令执行

在某些环境下，攻击者可以利用XXE漏洞执行系统命令。例如，在PHP环境下，如果安装了expect扩展，攻击者可以构造如下恶意XML：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
    <!ENTITY xxe SYSTEM "expect://ifconfig">
]>
<root><name>&xxe;</name></root>

这将导致服务器执行ifconfig命令，并将输出包含在响应中。

3. 拒绝服务攻击（DoS）

攻击者可以通过构造恶意的XML炸弹，使服务器在解析过程中消耗大量资源，导致拒绝服务。例如：

<?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

这个不到1KB的文件在解析时会占用大量内存，可能导致服务器崩溃。

4. SSRF攻击

攻击者可以通过构造恶意XML外部实体，发起服务器端请求伪造（SSRF）攻击，探测内网端口或获取网络信息。例如：

<?xml version="1.0" ?>
<!DOCTYPE ANY [
    <!ENTITY % ssrf SYSTEM "http://ip:port">
    %ssrf;
]>

这将导致服务器向ip:port发起请求，可能泄露内网信息。

四、XXE漏洞修复方法

1. 禁用外部实体

在XML解析器中禁用外部实体解析是防止XXE漏洞的最有效方法。不同语言和框架的禁用方法如下：

Java

DocumentBuilderFactory xmlreader = DocumentBuilderFactory.newInstance();
SAXReader xmlreader = new SAXReader();
SAXBuilder xmlreader = new SAXReader();
SAXParserFactory xmlreader = new SAXReader();
// 禁用DTDs(doctypes)(几乎可以防御所有xml实体攻击)
xmlreader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
//如果不能禁用DTDs（可以使用下两项，必须两项同时存在)
//防止外部普通实体POC攻击
xmlreader.setFeature("http://xml.org/sax/features/external-general-entities", false);    
//防止外部参数实体POC攻击
xmlreader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

Python

import xml.etree.ElementTree as ET

parser = ET.XMLParser()
parser.resolve_entities = False
tree = ET.parse('file.xml', parser)

PHP

libxml_disable_entity_loader(true);
$xml = simplexml_load_string($data);

2. 输入验证和过滤

对用户输入的XML数据进行严格验证和过滤，确保其中不包含恶意的外部实体引用。可以使用正则表达式等方式过滤掉<!ENTITY>等标签。

3. 安全配置服务器

正确配置服务器，限制服务器对外部资源的访问权限，避免服务器在解析XML文档时能够访问敏感文件或外部服务器。

4. 升级解析器版本

及时更新XML解析器到最新版本，以获得最新的安全修复。

五、总结

XXE漏洞是一种严重的安全漏洞，可能导致任意文件读取、命令执行、拒绝服务攻击和SSRF攻击等危害。通过禁用外部实体、严格输入验证和过滤、安全配置服务器以及升级解析器版本等方法，可以有效防止XXE漏洞的发生。开发者应高度重视XML数据处理的安全性，保护用户数据和系统安全。