XML实体扩展注入与防御方案

原创

于 2025-07-13 14:16:21 发布 · 1.5k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#java #javascript

XML 实体扩展注入（也称为 "Billion Laughs" 攻击或 "XML Bomb"）是一种通过恶意构造的 XML 实体实现 拒绝服务攻击（DoS） 的手段。攻击者利用 XML 解析器处理实体时的递归扩展机制，通过极小的 XML 数据触发指数级内存消耗，导致系统资源耗尽。

攻击原理

xml

<!DOCTYPE foo [
  <!ENTITY a "xxxxxxxxxx"> <!-- 10个字符 -->
  <!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;"> <!-- 10×10 = 100字符 -->
  <!ENTITY c "&b;&b;&b;&b;&b;&b;&b;&b;&b;&b;"> <!-- 100×10 = 1000字符 -->
]>
<foo>&c;</foo>

递归扩展：实体 &c; 展开为 10 个 &b;，每个 &b; 展开为 10 个 &a;，最终生成 10×10×10 = 1000 个字符（实际攻击中层级更深，可达 GB/TB 级数据）。
内存爆炸：解析器在内存中展开实体，消耗大量资源。

修复方案

1. 禁用 DTD 处理（最彻底）

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zqmattack

关注关注

39
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

利用 XML 外部实体注入

blacklordking的博客

06-21

536

在现实生活中大量存在有关系的数据，XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中，它允许用户自定义标签。一个标签用于描述一段数据；一个标签可分为开始标签和结束标签，在开始标签和结束标签之间，又可以使用其它标签描述其它数据，以此来实现数据关系的描述。（在XML中，用ELEMENT表示元素，用ENTITY表示实体）

网络安全-XXE（XML外部实体注入）原理、攻击及防御_c# 如何防止xml外部实体注入

2401_84544752的博客

05-14

424

XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。博主之前用xml也没有使用过DTD，因为是可选的嘛，这里就简单说一下，学过的跳过。DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。内部声明DTD引用外部DTD文档内部声明实体ENTITY 实体名称 "实体的值">引用外部实体ENTITY 实体名称 SYSTEM "URI">ENTITY 实体名称 PUBLIC "public\_ID" "URI">

参与评论您还未登录，请先登录后发表或查看评论

xml实体注入

HoAd'blog

02-01

567

xml实体注入 XXE漏洞即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。 - XML被设计为传输和存储数据，其焦点是数据的内容。 - HTML被设计用来显示数据，其焦点是数据的外观。 &lt &gt &amp &apos &

漏洞之XML实体注入

shy的博客

06-30

2943

XXE——XML外部实体注入程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。 XML是可扩展标记语言，很类型HTML语言。但是xml语言的标签没有预定义，需要自定义标签。 XML 被设计用来结构化、存储以及传输信息。但是 XML 不会做任何事情。举个栗子：张三给李四写了一张便签，标题是提醒，内容是：李四，你不要忘记开会。 <note> <to>李四</to> <from>张三</from> <hea

XML 外部实体注入

2201_75370376的博客

06-22

1306

SQL注入是一种web安全漏洞，使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据，或应用程序本身能够访问的任何其他数据。在许多情况下，攻击者可以修改或删除这些数据，从而导致应用程序的数据发生不正常更改。在某些情况下，攻击者可以逐步扩大SQL注入攻击，以危害底层服务器或其他后端基础设施。

【网络安全】web漏洞-xml外部实体注入(XXE)

A1_3_9_7的博客

12-28

1353

xml可拓展标记语言：xml是一种可拓展的标记语言，可以用来存储数据，例如：我们经常看到一些.xml的文件；它还可以用来传输数据，我们可以直接将数据以xml的格式放在请求当中，发给服务器。XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。

XML外部实体注入与修复方案

最新发布

zqmattack的博客

07-12

1410

XML外部实体注入（XXE）是一种严重的安全漏洞，攻击者利用XML解析器处理外部实体的功能读取服务器文件、发起SSRF攻击或执行拒绝服务攻击。修复方案包括：1）禁用XML解析器的外部实体处理功能；2）使用安全的XML库如defusedxml；3）输入验证过滤敏感关键字；4）输出编码避免直接输出；5）服务器层防御如WAF规则。关键原则是彻底禁用DTD和外部实体解析，并通过安全测试验证防护效果。

java xml 实体注入_XML外部实体注入漏洞(XXE)

weixin_35917998的博客

02-16

1273

转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。内部声明DTD根元素 [元素声明]>引...

「典型安全漏洞系列」05.XML外部实体注入XXE详解

所有成功的背后，都是痛苦的坚持，所有的痛苦，都是傻瓜般的不放弃!

01-22

2431

标记：指计算机能理解的信息符号（标签），通过这些标签，计算机之间可以处理包含各种信息的HTML、文章等；可扩展性：使用者可以根据需要自行定义标签。下面是一个包含XML声明、文档类型定义（Document Type Definition，DTD）的XML文件样例。

【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习

Fly_鹏程万里

12-25

649

前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题. 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安...

深入浅出带你了解XML实体注入

dzqxwzoe的博客

05-12

1446

Xml外部实体注入漏洞（XML External Entity Injection）简称XXE，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可以构造加载恶意外部文件，进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法，有兴趣的小伙伴可以自己去搭建靶机来进行测试，喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。

XML外部实体注入原理及案例(XXE注入)

一只抑郁的布偶猫的博客

10-06

1777

XML(全程EXtensible Markup Language,可拓展标记语言),其本质是一种数据格式,可以用来存储负载的数据结果和数据关系XML特性XML是一种标记语言,很类似htmlxml中的"<标签名>" 称为一个标签或一个元素,一般是成对出现的xml中的标签名是可以自己定义是(可扩展),但必须要正确的嵌套!<姓名></姓名>xml中只能由一个跟标签/xml中的标签可以由属性xml的设计宗旨是传输数据,而非显示数据。

XML外部实体注入总结(XXE靶机复现)

Aiwin的博客

05-15

5691

XML外部实体注入，Vuln-XXE靶机复现和无回显XXE的使用

XXE（XML外部实体注入）详解

一期一会的博客

01-22

5514

XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。当允许引用外部实体时，通过构造恶意内容，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如，如果你当前使用的程序为PHP，则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体，从而起到防御的目的。 XML简介 XML 指可扩展标记语言（EXtensible Markup Language） XML 是一种标记语言，很类似 HTM

XML外部实体注入概述+利用

tengyuehou的博客

04-06

861

1. XXE全称为XML External Entity Injection,亦称XEE,当Web应用的脚本代码没有限制XML引入外部实体，导致用户可以插入一个外部实体，且其中的内容会被服务器端执行，就有可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害的出现。2. 其中XML全称为eXtensible Markup Language,可扩展性标记语言。主要用途是可以在不兼容的系统之间交换数据，利用XML,纯文本文件也可以用来存储数据。

【网络安全】XXE--XML外部实体注入

边缘拼命划水的小陈

04-24

1472

XML外部实体注入（XML EXTERNAL ENTITY）简称XXE漏洞，概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

【网络安全零基础入门】之XML外部实体注入（非常详细）建议收藏！

白帽阿叁的博客

10-30

883

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。