XXE 攻击(XML External Entity Injection)深度解析与 Java 防护实践

最新推荐文章于 2025-07-29 08:53:47 发布
最新推荐文章于 2025-07-29 08:53:47 发布
阅读量872 收藏 8
点赞数 11
CC 4.0 BY-SA版权
文章标签: xml java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ruanjiananquan99/article/details/149021218
一、XXE 攻击概述

XXE(XML External Entity Injection)是一种针对 XML 解析器的注入攻击,攻击者通过构造恶意 XML 数据,利用解析器对外部实体的处理机制,读取系统文件、执行命令、发起内网扫描甚至实施拒绝服务攻击。该漏洞源于 XML 解析器默认支持外部实体引用,若应用未对输入的 XML 进行严格过滤,将直接暴露于风险之中。

二、XXE 攻击的威胁与典型安全事件

  1. 信息泄露
    攻击者可通过外部实体引用读取任意系统文件,如/etc/passwd、数据库配置文件等。典型案例:2013 年某电商平台因 XXE 漏洞导致用户数据库泄露。

  2. 服务器端请求伪造(SSRF)
    利用 XML 解析器访问内网资源,如扫描内部网络、访问数据库等。2014 年某银行系统被利用 XXE 发起 SSRF 攻击,导致内部系统瘫痪。

  3. 拒绝服务攻击(DoS)
    通过构造恶意 XML(如十亿 laughs 攻击)耗尽服务器资源。

  4. 远程代码执行
    在某些环境下,攻击者可通过 XXE 执行系统命令,完全控制服务器。

三、Java 中 XXE 漏洞的修复方案
1. 禁用 XML 解析器的外部实体解析

Java 提供了多种 XML 解析 API,包括 DOM、SAX 和 StAX,以下是针对不同解析器的安全配置示例:

SAXParser 安全配置

java

import javax.xml.parsers.SAXParser;
import javax.xml.parsers.SAXParserFactory;
import org.xml.sax.InputSource;

public class SecureSAXParserExample {
    public static void main(String[] args) throws Exception {
        SAXParserFactory factory = SAXParserFactory.newInstance();
        // 禁用外部实体解析
        factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        // 禁用DTD解析
        factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        
        SAXParser parser = factory.newSAXParser();
        // 解析XML
        parser.parse(new InputSource("input.xml"), new org.xml.sax.helpers.DefaultHandler());
    }
}

DOM Parser 安全配置

java

import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;

public class SecureDOMParserExample {
    public static void main(String[] args) throws Exception {
        DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
        // 禁用外部实体解析
        factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        // 禁用DTD解析
        factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        // 防止XInclude攻击
        factory.setXIncludeAware(false);
        
        DocumentBuilder builder = factory.newDocumentBuilder();
        // 解析XML
        builder.parse("input.xml");
    }
}
2. 使用安全的 TransformerFactory

java

import javax.xml.transform.TransformerFactory;

public class SecureTransformerExample {
    public static void main(String[] args) {
        TransformerFactory factory = TransformerFactory.newInstance();
        // 禁用外部实体解析
        factory.setAttribute("http://javax.xml.XMLConstants/property/accessExternalDTD", "");
        factory.setAttribute("http://javax.xml.XMLConstants/property/accessExternalStylesheet", "");
    }
}
3. JAXB 反序列化安全配置

java

import javax.xml.bind.JAXBContext;
import javax.xml.bind.Unmarshaller;
import com.sun.xml.bind.v2.runtime.unmarshaller.UnmarshallerImpl;

public class SecureJAXBExample {
    public static void main(String[] args) throws Exception {
        JAXBContext jc = JAXBContext.newInstance(MyClass.class);
        Unmarshaller unmarshaller = jc.createUnmarshaller();
        
        // 配置安全的XMLReader
        if (unmarshaller instanceof UnmarshallerImpl) {
            ((UnmarshallerImpl) unmarshaller).setXMLReader(createSecureXMLReader());
        }
    }
    
    private static org.xml.sax.XMLReader createSecureXMLReader() throws Exception {
        SAXParserFactory factory = SAXParserFactory.newInstance();
        factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        return factory.newSAXParser().getXMLReader();
    }
}
4. 使用 StAX 解析器(XMLStreamReader)

java

import javax.xml.stream.XMLInputFactory;
import javax.xml.stream.XMLStreamReader;
import java.io.FileInputStream;

public class SecureStAXExample {
    public static void main(String[] args) throws Exception {
        XMLInputFactory factory = XMLInputFactory.newInstance();
        // 禁用外部实体解析
        factory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
        factory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);
        
        XMLStreamReader reader = factory.createXMLStreamReader(new FileInputStream("input.xml"));
        // 处理XML
        while (reader.hasNext()) {
            reader.next();
            // 处理逻辑
        }
    }
}
四、进阶防护措施

  1. 输入验证与过滤
    使用正则表达式或白名单过滤 XML 输入,禁止包含<!DOCTYPE<!ENTITY等关键字的内容。

  2. 升级依赖库
    确保使用最新版本的 XML 解析库,修复已知漏洞(如 Apache Xerces-C/J)。

  3. 使用安全解析器工厂
    封装安全配置,创建可复用的安全解析器工厂:

java

public class SecureXMLFactory {
    public static SAXParserFactory createSecureSAXParserFactory() {
        SAXParserFactory factory = SAXParserFactory.newInstance();
        try {
            factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
            factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
            factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
            factory.setNamespaceAware(true);
        } catch (Exception e) {
            // 记录安全配置失败
            e.printStackTrace();
        }
        return factory;
    }
}
五、XXE 防护最佳实践

  1. 默认拒绝原则
    除非明确需要,否则禁止所有外部实体引用。

  2. 使用替代数据格式
    优先使用 JSON 替代 XML,避免解析风险。

  3. 安全审计
    使用 OWASP ZAP 等工具进行漏洞扫描,定期审查 XML 处理代码。

  4. 异常处理
    捕获并记录 XML 解析异常,避免信息泄露:

java

try {
    // XML解析代码
} catch (Exception e) {
    logger.error("XML解析失败: {}", e.getMessage());
    // 返回安全错误信息给客户端
    throw new SecurityException("无效的XML格式");
}

六、总结

XXE 攻击因其隐蔽性和高危害性,成为 Java 应用的重大安全隐患。通过禁用外部实体解析、配置安全解析器、严格输入验证等措施,可有效防范此类攻击。开发团队应将安全编码规范融入 SDLC(软件开发生命周期),结合自动化安全测试,构建多层次的安全防护体系。

参考资源

  • OWASP Top Ten: XML External Entity (XXE)
  • CWE-611: Improper Restriction of XML External Entity Reference
  • Java Secure Coding Guidelines - XML Processing
Xxe外部实体注入(XML External Entity Injection
xuyunpeng3189的博客
01-23 1254
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
XML external entity (XXE) injection
qq_52579508的博客
07-17 911
burpsuit 靶场的 xxe
XXEXML External Entity Injection
四问四不知的博客
05-27 1551
参考链接:http://xz.aliyun.com/t/3357
XXE: XML eXternal Entity Injection vulnerabilities
weixin_30791095的博客
01-06 333
From:https://www.gracefulsecurity.com/xml-external-entity-injection-xxe-vulnerabilities/ Here’s a quick write-up on XXE, starting with how to detect the vulnerability and moving on to how to fix it...
[20][03][14] XML External Entity Injection(XXE)
安全新司机
05-19 512
文章目录1. 描述2. 场景3. 复现问题3.1 解析 XML 文件或 xml 字符串4. 如何解决 XXE4.1 升级第三方组件版本至安全版本4.2 主动防御外部实体 1. 描述 在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题 2. 场景 解析 xml 字符串 解析 xml 文件 3. 复现问题 3.1 解析 XML 文件或 xml 字符串 待解析 xml 文件,命名为 xxe.xml &
XXE技巧拓展】————7、XXE (XML External Entity Injection) 漏洞实践
Fly_鹏程万里
01-24 1235
介绍 XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。主要是针对使用XML交互的Web应用程序的攻击方法。 其实我对XXE也不是很很感兴趣,通常我只是利用该漏洞从本地系统读取文件而已。最近我又开始研究最新的XXE的数据库漏洞,并在YouTube上看视频,和阅读XXE的各种文章和书籍。所以如果有错的地方,你可...
Fortify---XML External Entity InjectionXML实体注入)
蓝天⊙白云的博客
09-16 1029
最近在做一些有关fortify的修复工作,记录一下。 1.问题简介 XML External Entities是指利用XML特征来动态构建XML文档进行攻击。一个XML实体允许包含从指定数据源获取动态数据。外部实体允许一个XML实体包含从外部URI获取的数据。除非经过配置,否则外部实体会强制 XML 解析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XML External Entity (XXE) 攻击,从而用于拒绝本地系统的服务,获取对本地计算机上文
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 1626
文章目录什么是XML外部实体注入?XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件类型定义?什么是XML自定义实体?什么是XML外部实体?XXE攻击有哪些类型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并应用程
XXE全称XML External Entity Injection漏洞.pdf
07-05
XXE全称XML External Entity Injection漏洞,是一种在应用程序解析XML输入时由于未能禁止外部实体加载而引发的安全漏洞。该漏洞可以被利用来执行文件读取、命令执行、内网端口扫描等多种攻击XML(eXtensible ...
Xxe外部实体注入(XML External Entity Injection)_externalmetadata
m0_61549674的博客
04-06 880
网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码。
java --XXE 攻击原理及防御
tryheart的博客
09-05 2107
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
Springboot+activiti启动时报错XMLException: Error reading XML
黎鉴洪的博客
07-25 368
Failed to start bean 'processDeployedEventProducer'; nested exception is org.activiti.bpmn.exceptions.XMLException: Error reading XML
​​XSLT:XML转换的“魔法棒”​
2401_82591622的博客
07-26 738
大家好!今天我们来聊聊 ​​(Extensible Stylesheet Language Transformations),一种用于转换和呈现XML文档的神奇工具。如果你曾需要将一堆枯燥的XML数据变成精美的HTML网页、PDF报告,或其他XML格式,XSLT就是你的“瑞士军刀”。
如何序列化和反序列化动态 XmlElement ?
中游鱼的博客
07-25 796
如何序列化和反序列化动态 XmlElement
XML DOM
froginwe11的博客
07-26 279
XML DOM是一种强大的XML文档处理工具,它可以帮助开发者轻松地访问和操作XML文档。通过本文的介绍,相信读者已经对XML DOM有了基本的了解。在实际开发中,合理运用XML DOM可以大大提高开发效率,降低开发成本。
XML 语法详解
wjs2024的博客
07-27 396
本文详细介绍了XML的语法规则,包括XML声明、根元素、元素和标签、属性、文本内容、命名空间、注释和实体引用等。掌握XML语法对于理解和应用XML至关重要。希望本文能帮助读者更好地学习和使用XML
Qt XML JSON 数据处理方法
编程与实战的博客
07-25 592
XML:适合需要严格结构、丰富元数据和文档交换的场景,提供 DOM 和流两种处理方式。JSON:适合轻量级数据交换、网络 API 和配置文件,语法简洁且解析高效。掌握这些技术后,可轻松实现数据的存储、传输和交换,为应用开发提供强大的数据处理能力。
【python实用小脚本-161】Python Json转Xml:告别手敲标签——一行命令把配置秒变可导入的XML
最新发布
kylner的博客
07-29 273
文章以故事开场,展示 `json_to_xml.py` 如何一键把混乱 JSON 转成层级清晰的 XML,解决手工敲标签的痛点。全文分四大“功能块”拆解代码:读文件、递归拆解、自动贴标签、保存文件,每段附可复制代码。额外给出批量处理图形界面两个 5 分钟扩展思路,并附源码。最终让零基础读者明白:无需专业背景,也能用 30 行 Python 把日常“格式转换”变成一键完成的爽点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值