XML解析安全最佳实践

XXE攻击是通过XML外部实体读取敏感文件或发起内网扫描，防范需禁用DTD和外部实体解析，限制资源消耗，并严格校验输入。

XML解析安全的核心在于防范外部实体注入（XXE）、拒绝服务（DoS）攻击，以及确保解析器配置的健壮性与输入数据的严格校验。这不仅仅是配置几个参数那么简单，更是一种深入理解XML解析器工作原理和潜在风险的思维模式。

解决方案

要构建一个安全的XML解析环境，需要采取多层防御策略。首先，也是最关键的，是禁用外部实体解析，这是抵御XXE攻击的基石。其次，对解析器的资源消耗进行严格限制，防止恶意XML文件导致拒绝服务。这包括限制实体扩展的深度和数量、内存使用以及解析时间。同时，对于所有传入的XML数据，进行严格的输入验证，不仅仅是格式上的，更要关注内容是否符合预期。最后，始终使用最新、已打补丁的XML解析库，并定期审查解析器的配置，确保其符合最新的安全标准。

什么是XXE攻击，以及如何有效防范？

XXE，全称XML External Entity，即XML外部实体注入攻击，是XML解析器处理包含外部实体引用的XML文档时，未能正确配置或过滤，导致攻击者可以读取本地文件、发起内网扫描，甚至执行远程代码。简单来说，攻击者可以在XML文档中定义一个实体，这个实体指向一个外部资源（比如文件系统路径或URL），解析器在处理时就会去加载这个资源，从而泄露敏感信息或造成其他破坏。

我个人在处理一些老旧系统时，发现XXE的风险往往被低估，尤其是在那些默认配置宽松的解析器中。有时候，仅仅禁用外部实体是不够的，还需要确保参数实体也被妥善处理，因为它们同样可以被滥用。

有效防范XXE的关键在于：

ViiTor实时翻译

AI实时多语言翻译专家！强大的语音识别、AR翻译功能。

116

查看详情

• 禁用DTD（Document Type Definition）处理： 如果你的应用不需要使用DTD，最彻底的方法就是完全禁用它。许多现代XML解析器允许你通过配置来实现这一点。
• 禁用外部实体解析： 即使需要DTD，也务必禁用外部实体解析。这通常涉及设置解析器的特定属性。例如，在Java的

  DocumentBuilderFactory

  登录后复制
  中，你可以设置

  factory.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);

  登录后复制
  ，并且显式地禁用

  EXTERNAL_GENERAL_ENTITIES

  登录后复制
  和

  EXTERNAL_PARAM_ENTITIES

  登录后复制
  。

  // 示例：Java中禁用外部实体
  DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
  dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true); // 启用安全处理
  dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); // 禁用DOCTYPE声明
  dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); // 禁用外部通用实体
  dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); // 禁用外部参数实体
  dbf.setXIncludeAware(false); // 禁用XInclude
  dbf.setExpandEntityReferences(false); // 禁用实体引用扩展

  登录后复制
• 使用白名单验证： 如果必须接受DTD，考虑对DTD进行严格的白名单验证，只允许已知的、安全的实体声明。但这通常复杂且容易出错，不推荐作为首选方案。
• 保持解析器更新： 确保使用的XML解析库是最新版本，因为许多XXE漏洞的修复都包含在更新中。

如何通过配置来抵御XML解析带来的拒绝服务（DoS）攻击？

XML解析过程中的拒绝服务（DoS）攻击，主要是通过构造恶意XML文件，消耗目标服务器的计算资源（CPU、内存、网络带宽），使其无法正常响应合法请求。最典型的例子就是“Billion Laughs”攻击（或称指数实体扩展攻击），通过递归嵌套实体，一个看似很小的XML文件在解析时会膨胀到惊人的大小，耗尽内存。此外，属性爆炸、深度嵌套的元素也可能导致类似的资源耗尽问题。

我曾遇到过一个案例，一个看似无害的XML文件，通过巧妙地嵌套实体，在解析时耗尽了服务器的全部内存。从那时起，我开始对解析器的资源限制配置格外上心。

抵御XML解析DoS攻击的策略主要集中在对解析器行为的严格限制：

• 限制实体扩展： 这是防范Billion Laughs攻击的核心。配置解析器，限制实体扩展的深度、总字符数或总字节数。许多解析器都提供了这类配置项。
  • 例如，可以设置最大实体扩展限制，一旦超过，解析器应抛出异常。
• 限制XML文档大小： 在将XML数据传递给解析器之前，对其进行预检查。如果传入的XML文件大小超过预设阈值，直接拒绝解析。这可以在网络层或应用层实现。
• 限制内存使用： 某些解析器允许直接配置其内存使用上限。当解析过程中的内存消耗达到阈值时，解析器应停止并报错。
• 设置解析超时： 为XML解析操作设置一个合理的超时时间。如果解析在指定时间内未能完成，则强制终止并返回错误，防止长时间的资源占用。
• 禁用外部Schema/DTD加载： 外部Schema或DTD的加载也可能引入网络延迟或外部资源耗尽的风险。如果可能，将Schema或DTD缓存到本地，或者完全禁用外部加载。
• 启用安全处理特性： 许多XML解析库提供了“安全处理”模式（如Java的

  XMLConstants.FEATURE_SECURE_PROCESSING

  登录后复制
  ），启用它通常会默认开启一系列安全配置，有助于缓解多种攻击。

除了XXE和DoS，还有哪些XML解析安全隐患，我们该如何应对？

很多时候，我们只盯着XXE和DoS这两个大头，却忽略了其他一些细微但同样致命的问题。比如，我曾经看到过一个系统，它用XPath来查询用户权限，结果因为没有对输入进行充分过滤，导致了权限绕过。这提醒我们，安全是一个体系，不能有短板。

除了XXE和DoS，XML解析还可能面临以下安全隐患：

• XPath注入： 如果应用程序使用用户提供的输入来构建XPath查询，并且没有正确地对输入进行转义或验证，攻击者可以注入恶意的XPath表达式，从而绕过授权、访问敏感数据或篡改数据。
  • 应对： 永远不要直接将用户输入拼接到XPath查询中。使用参数化查询或对用户输入进行严格的白名单验证和转义。
• XML Schema验证绕过： 如果应用程序依赖XML Schema来强制执行数据结构和安全策略，攻击者可能会尝试绕过这些验证。例如，通过提交不符合Schema但仍能被解析器接受的XML，或者通过外部Schema引用来注入恶意Schema。
  • 应对： 确保Schema验证是在服务器端强制执行的，并且验证器配置为严格模式。避免从不可信的源加载Schema。如果Schema是外部的，应进行本地缓存和校验。
• 信息泄露（通过错误消息）： 解析器在处理格式错误或恶意XML时，可能会生成包含敏感系统路径、内部结构或配置信息的详细错误消息。这些信息如果暴露给攻击者，可能成为进一步攻击的跳板。
  • 应对： 在生产环境中，配置应用程序以生成通用、不包含敏感信息的错误消息。将详细的错误日志记录到安全的后端系统，而不是直接显示给用户。
• XML签名/加密漏洞： 如果应用程序使用XML数字签名或XML加密来确保数据完整性和机密性，不当的实现可能导致漏洞。例如，签名验证不充分可能允许篡改数据，加密密钥管理不当可能导致密钥泄露。
  • 应对： 使用成熟、经过审计的加密库和框架。严格遵循XML签名和加密的最佳实践，例如验证所有引用、确保密钥安全存储和管理。
• 解析器本身的漏洞（CVEs）： 任何软件都可能存在漏洞，XML解析库也不例外。已知的CVEs可能允许攻击者利用解析器中的缺陷来执行代码、拒绝服务或泄露信息。
  • 应对： 定期检查并更新所有使用的XML解析库到最新版本。订阅安全公告，及时了解并修补潜在的漏洞。使用值得信赖的、广泛使用的库，因为它们通常有更活跃的安全社区和更快的漏洞响应。

以上就是XML解析安全最佳实践的详细内容，更多请关注php中文网其它相关文章！