XML外部实体注入与修复方案

最新推荐文章于 2025-11-04 09:31:10 发布

原创

最新推荐文章于 2025-11-04 09:31:10 发布 · 1.4k 阅读

8 ·

CC 4.0 BY-SA版权

文章标签：

#java #javascript #安全

XML外部实体注入（XXE）是一种严重的安全漏洞，攻击者利用XML解析器处理外部实体的功能来读取服务器内部文件、执行远程请求（SSRF）、扫描内网端口或发起拒绝服务攻击。以下是详细解释和修复方案：

XXE 攻击原理

外部实体声明
XML允许定义实体（变量），实体可引用外部资源：

xml
```
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
```
实体注入
攻击者将恶意实体注入XML输入：

xml
```
<data>&xxe;</data>
```
解析器会将 &xxe; 替换为 /etc/passwd 文件内容。
攻击类型
- 读取本地文件（file://）
- 发起HTTP请求（http://）→ SSRF
- 拒绝服务（Billion Laughs 攻击）
- 端口扫描（结合SSRF）

修复方案

1. 禁用外部实体处理（根本方案）

Java (SAX/DOM)

java

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.s

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zqmattack

关注关注

30
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

Java代码审计——XML 外部实体注入（XXE）

m0_61506558的博客

11-27

1321

XXE 为 XML 外部实体注入。当应用程序在解析 XML 输入时，在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口，其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序，以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时，在没有禁止外部实体的加载而导致加载了外部文件及代码时，就会造成 XXE。文档的接口，其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞，我们首先需要知道常见的能够解析。们一般用以下几种常见的。

XML注入漏洞修复参考

煜铭2011

06-20

3256

XML注入漏洞修复参考 1. 漏洞背景可扩展标记语言 (Extensible Markup Language, XML) ，用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集，非常适合 Web传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。发现目前一些普遍使用xml的场景中都存在一种古老的XML实体注入漏洞，这可能导致较为严重的安全问题，使得攻击者可能可

参与评论您还未登录，请先登录后发表或查看评论

XML 外部实体 (XXE) 漏洞及其修复方法

allway2的博客

07-27

6780

PHP拥有可能是最流行的后端Web应用程序语言的称号，因此，它是攻击者的主要目标，包括XXE攻击。由于攻击者经常发现新的漏洞，因此必须保持您的PHP版本是最新的以保护您的应用程序。它们不能用于获取二进制文件，或包含类似于XML但实际上不是有效XML的代码的文件。XXE（XML外部实体注入）是一种常见的基于Web的安全漏洞，它使攻击者能够干扰Web应用程序中XML数据的处理。虽然是一个常见的漏洞，但通过良好的编码实践和一些特定于语言的建议，可以轻松实现防止XXE攻击。...

java代码审计-XML外部实体注入

最新发布

xwj1769319的博客

11-04

459

XML外部实体注入（XXE）是一种安全漏洞，许多过时的或配置不当的 XML 处理器都会对外部实体进行引用，允许攻击者通过XML文档中的外部实体声明来读取文件、执行SSRF攻击、端口扫描或造成拒绝服务攻击。</

webservice XML实体注入漏洞解决方案

qq_25446311的博客

11-03

4167

漏洞描述目标存在webservice XML实体注入漏洞。XML是可扩展标记语言，标准通用标记语言的子集，是一种用于标记电子文件使其具有结构性的标记语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。解决方案 (1) 关闭XML解解析函数的外部实体。在生成x

XXE漏洞复现步骤

zxcvbnmasdflzl的博客

06-24

1149

另外，一般来说，服务器解析XML有两种方式，一种是一次性将整个XML加载进内存中，进行解析；如果我们递归地调用XML定义，一次性调用巨量的定义，那么服务器的内存就会被消耗完，造成了拒绝服务攻击。既然XML可以从外部读取DTD文件，那我们就自然地想到了如果将路径换成另一个文件的路径，那么服务器在解析这个XML的时候就会把那个文件的内容赋值给SYSTEM前面的根元素中，只要我们在XML中让前面的根元素的内容显示出来，不就可以读取那个文件的内容了。3.检查所使用的底层xml解析库，默认禁止外部实体的解析。

PHP XXE漏洞

weixin_30849591的博客

01-24

1185

PHP xml 外部实体注入漏洞（XXE） 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后，默认不解析外部实体，对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点，XML 被设计用来结构化、...

Java代码审计安全篇-XXE(XML外部实体注入)漏洞

dzqxwzoe的博客

05-29

1601

XML 实体允许定义标记，在分析 XML 文档时，这些标记将被内容替换。通常有三种类型的实体：内部实体外部实体参数实体。必须在文档类型定义（DTD）中创建一个实体，让我们从一个示例开始：正如你所看到的，一旦XML文档被解析器处理，它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的，这有很多优点，因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中，XML 可用于将数据从客户端获取到服务器，我们都熟悉 JSON API，我们也可以使用 xml。

Java代码审计实战：XML外部实体注入（XXE）深度解析

m0_67795959的博客

09-05

1320

攻击者可以向服务器上传或提交一个包含恶意实体的XML文件，当服务器使用这段代码解析时，就会触发XXE。当XML解析器没有正确配置，允许处理外部实体时，就产生了XXE漏洞。这个漏洞的严重性在于，它允许攻击者在不进行身份验证的情况下，窃取到系统的敏感配置信息，为后续的攻击（如数据库渗透）提供了便利。例如，当Spring框架在处理XML请求时，如果配置不当，也可能导致XXE。这段代码接收XML格式的请求体，如果内部的XML解析器没有正确配置，攻击者可以提交一个包含外部实体的XML，从而发起XXE攻击。

xxe-xml外部实体注入

nigo134的博客

07-27

3237

一、XXE 是什么介绍 XXE 之前，我先来说一下普通的 XML 注入，这个的利用面比较狭窄，如果有的话应该也是逻辑漏洞如图所示：既然能插入 XML 代码，那我们肯定不能善罢甘休，我们需要更多，于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入，从名字就能看出来，这是一个注入漏洞，注入的是什么？XML外部实体。(看到这里肯定有人要说：你这不是在废话)，固然，其实我这里废话只是想强调我们的利用点是 外部实体 ，也是提醒读者将

用友U8 Cloud smartweb2.RPC.d XML外部实体注入漏洞

Keepb1ue的博客

01-05

1753

用友U8cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型、集团型企业，提供企业级云ERP整体解决方案。它包含ERP的各项应用，包括iUAP、财务会计、iUFO cloud、供应链与质量管理、人力资源、生产制造、管理会计、资产管理，以及电商通、U会员、U订货、友云采、友报账、友空间、友人才等用友云服务。

利用 requestrepo 工具验证 XML外部实体注入漏洞

qq_33163046的博客

03-07

1232

在数字化浪潮席卷的当下，网络安全的重要性愈发凸显。应用程序在便捷生活与工作的同时，也可能暗藏安全风险。XXE（XML外部实体）漏洞作为其中的典型代表，攻击者一旦利用它，便能窃取敏感信息、掌控服务器，对系统安全构成严重威胁。因此，精准验证和修复XXE漏洞成为保障网络安全的关键任务。requestrepo工具凭借其独特优势，为XXE漏洞验证提供了得力支持，下面将深入探讨其在漏洞验证中的具体应用。requestrepo是一款专注于网络请求分析的在线工具，网址为requestrepo.com。

【Web漏洞探索】外部实体注入漏洞

kjcxmx的博客

07-19

1291

外部实体注入漏洞XXE(XMLExternalEntityInjection)也就是XML外部实体注入，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。file//和ftp//等协议，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。不允许XML中含有自己定义的DTD。...

Xml外部实体注入漏洞(XXE)与防护

热门推荐

xiaoyi52的专栏

09-12

2万+

Xml外部实体注入(XXE) 除了json外，xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式：DOM，SAX，JDOM，DOM4J，StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞，如微信支付的回调就出现过（见参考资料2）。 XML文档结构包括xml声明，DTD文档类型定义(可选)和文档元素，如下图所示： DTD的作用是定义XML文档的合法构建模块，可以...

XML 注入漏洞原理以及修复方法

it知识分享 free for nothing..

01-23

1717

XML 注入漏洞原理以及修复方法

xml 设值注入举例ref_XML外部实体注入

weixin_39873177的博客

11-21

376

一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。内部声明DTD<!DOCTYPE 根元素 [元素声明]>引...

XML外部实体注入(XXE)

常备不懈

05-30

1137

XML外部实体注入（XML eXternal Entity Injection，XXE）是一种针对解析XML输入的应用程序的攻击。当应用程序处理包含不受信任的外部实体引用的XML输入，并使用配置不当的XML解析器时，就可能发生这种攻击。此类攻击可能导致机密数据泄露、拒绝服务攻击（DoS）、服务器端请求伪造（SSRF）以及从解析器所在服务器进行端口扫描等一系列系统安全问题。

【漏洞挖掘】——21、RPO漏洞挖掘攻防

Fly_鹏程万里

03-03

3320

Gareth Heyes在2014年首次提出了一种新型攻击手法—RPO(Relative Path Overwrite)相对路径覆盖，该漏洞是一种利用相对URL路径覆盖目标文件的一种攻击手段，其主要依赖于服务器和浏览器的解析差异性并利用前端代码中加载的css/js的相对路径来加载其他文件，最终使得浏览器将服务器返回的不是css/js的文件当做css/js来解析，从而导致XSS，信息泄露等漏洞产生。

xml外部实体注入

04-03

### XXE漏洞原理 XML外部实体注入（XXE，XML External Entity Injection）是一种针对XML解析器的安全漏洞。当应用程序使用不受信任的数据作为输入并将其传递给XML解析器时，如果该解析器未正确配置，则可能允许攻击者定义恶意的外部实体[^1]。 #### 原理概述 XML支持通过`DOCTYPE`声明来引用外部实体文件。这些外部实体可以指向本地文件系统中的资源或远程URL。一旦攻击者能够控制XML输入的内容，他们就可以利用此功能访问敏感信息、执行拒绝服务攻击甚至发起服务器端请求伪造（SSRF）攻击[^4]。例如，以下是一个简单的XXE攻击示例： ```xml <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo> ``` 上述代码尝试读取目标机器上的`/etc/passwd`文件内容，并将其嵌入到响应中返回给攻击者[^3]。 --- ### 防护措施为了有效防止XXE攻击的发生，可以从以下几个方面入手实施防护策略： #### 1. **禁用外部实体** 大多数现代XML库都提供了选项用于关闭对外部实体的支持。这是最直接也是最重要的防御方式之一。例如，在libxml2版本2.9.0之后，默认情况下不会自动加载任何外部实体，除非显式启用这一行为[^2]。对于Java环境下的SAXParserFactory实例化过程来说，可以通过设置特定属性来强化安全性： ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); ``` 以上代码片段展示了如何通过调整工厂对象的功能特性以杜绝潜在风险点的存在。 #### 2. **升级依赖组件** 确保所使用的第三方库始终处于最新稳定状态非常重要。因为很多旧版软件可能存在已知漏洞而未能及时修复的情况。比如前面提到过的libxml2项目，在其后续迭代过程中逐步增强了关于安全性的考量。另外值得注意的是，除了单纯依靠更新之外还需要关注官方发布的补丁说明以及迁移指南等内容以便顺利完成过渡工作而不影响现有业务逻辑正常运转。 #### 3. **验证用户提交数据的有效性和合法性** 无论何时接收到来自客户端或其他不可信源发送过来的信息之前都应该先经过严格校验流程再进一步处理下去。这不仅限于单纯的字符串匹配操作还包括但不限于长度限制检查、字符集范围界定等方面的工作。 #### 4. **采用更安全替代方案** 考虑完全放弃传统基于DOM/SAX模型的传统做法转而选用JSON等形式表达结构化的数据交换需求不失为一种可行的选择方向。毕竟后者天生不具备类似的弱点特征从而大大降低了遭受此类威胁的可能性。 --- ### 结论综上所述，通过对XXE漏洞形成机制的理解我们可以采取多种有效的预防手段加以应对，其中包括但不限于禁用不必要的功能性模块如外部实体引用能力；定期审查维护相关技术栈保持与时俱进的态度积极拥抱新特性带来的改进成果等等。只有这样才能够最大程度保障信息系统免受未知隐患侵害的同时持续提供高质量的服务体验给最终使用者群体带来价值最大化的效果体现出来。 ---