XXE 漏洞介绍

原创 于 2025-03-24 21:11:45 发布
· 914 阅读 · 6 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

XXE 漏洞介绍

XXE (XML External Entity) 是一种针对 XML 解析器的漏洞,攻击者可以利用它读取服务器上的文件、发起 SSRF 攻击或导致拒绝服务(DoS)。XXE 漏洞通常发生在应用程序解析用户提供的 XML 数据时,未禁用外部实体引用。

漏洞原理

XXE 漏洞的根源在于 XML 解析器允许加载外部实体。攻击者可以通过构造恶意 XML 数据,利用 DOCTYPEENTITY 标签引用外部资源,例如:

  • 读取服务器上的文件。
  • 发起网络请求(SSRF)。
  • 导致解析器崩溃(DoS)。

XXE 漏洞示例

示例 1:读取服务器文件

假设一个应用接受 XML 数据并解析:

<?xml version="1.0" encoding="UTF-8"?>
<user>
  <name>John</name>
</user>

攻击者构造恶意 XML,读取服务器上的 /etc/passwd 文件:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<user>
  <name>&xxe;</name>
</user>

服务器解析 XML 时,会将 /etc/passwd 文件内容插入 <name> 标签。

示例 2:发起 SSRF 攻击

攻击者利用 XXE 发起 SSRF 请求:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://internal-service/admin">
]>
<user>
  <name>&xxe;</name>
</user>

服务器解析 XML 时,会向 http://internal-service/admin 发起请求。

示例 3:导致拒绝服务 (DoS)

攻击者利用 XXE 构造恶意实体,导致解析器崩溃:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe "xxe">
  <!ENTITY xxe1 "&xxe;&xxe;&xxe;&xxe;&xxe;">
  <!ENTITY xxe2 "&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;">
  <!ENTITY xxe3 "&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;">
]>
<user>
  <name>&xxe3;</name>
</user>

解析器会递归扩展实体,导致内存耗尽或崩溃。

解决方法

  1. 禁用外部实体

    • 在 XML 解析器中禁用外部实体加载。
    • 示例(Java):
      DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

  2. 使用安全的 XML 解析器

    • 使用默认禁用外部实体的解析器,如 Python 的 defusedxml 库。

  3. 验证和过滤用户输入

    • 对用户提供的 XML 数据进行严格验证,禁止包含 DOCTYPEENTITY 标签。

  4. 使用 JSON 替代 XML

    • 如果可能,使用 JSON 替代 XML,因为 JSON 不支持外部实体。

  5. 限制文件访问

    • 确保 XML 解析器无法访问敏感文件或网络资源。

  6. 启用日志监控

    • 记录所有 XML 解析请求,监控异常行为。

示例安全代码

Java
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;
import org.w3c.dom.Document;

public class SafeXMLParser {
    public static void main(String[] args) throws Exception {
        DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
        factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

        DocumentBuilder builder = factory.newDocumentBuilder();
        Document document = builder.parse("input.xml");
        System.out.println(document.getDocumentElement().getTextContent());
    }
}
Python
from defusedxml.ElementTree import parse

def safe_xml_parser(file_path):
    tree = parse(file_path)
    root = tree.getroot()
    print(root.text)

safe_xml_parser("input.xml")

总结

XXE 漏洞的危害性较大,可能导致文件读取、SSRF 攻击或拒绝服务。通过禁用外部实体、使用安全的 XML 解析器、验证用户输入等方法,可以有效防止 XXE 漏洞。同时,结合日志监控和文件访问限制,可以进一步增强安全性。

阿湯哥
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值