XXE漏洞源于XML解析器未禁用外部实体,导致攻击者可读取文件、探测内网或触发SSRF;防御需禁用DTD和外部实体,如Java配置安全特性、Python使用lxml禁用解析网络请求,并优先采用JSON替代XML,配合输入验证与低权限运行环境,即可有效防范。
XML外部实体注入(XXE)是一种常见的安全漏洞,主要出现在应用程序解析XML输入时未正确处理外部实体定义。攻击者可以利用该漏洞读取服务器本地文件、执行远程请求、进行端口扫描甚至实现服务器端请求伪造(SSRF),严重威胁系统安全。理解其原理并采取有效防御措施至关重要。
XXE漏洞的原理
XML支持自定义实体,通过DOCTYPE声明引入内部或外部实体。外部实体可指向本地文件或远程资源。当应用程序使用弱配置的XML解析器处理用户提交的XML数据时,会解析这些恶意实体,导致信息泄露。
例如,攻击者提交如下XML:
]>
&xxe;
若解析器未禁用外部实体,就会将&xxe;替换为/etc/passwd文件内容并返回给攻击者。
常见攻击场景与危害
- 读取敏感文件:如/etc/shadow、配置文件、私钥等。
- 探测内网服务:通过构造URL请求内网IP和端口,判断开放情况。
- 发起SSRF攻击:借助服务器身份访问内部系统,绕过防火墙限制。
- 拒绝服务(DoS):利用“亿万笑脸”攻击,通过递归实体耗尽CPU和内存。
有效的防御策略
防止XXE的核心是禁用外部实体处理,并最小化XML解析的风险。
-
禁用外部实体和DTD解析:
在代码中配置XML解析器不加载外部实体。例如:- Java(使用DocumentBuilder):
builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
builder.setFeature("http://xml.org/sax/features/external-general-entities", false);
builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false); - Python(lxml):
from lxml import etree
parser = etree.XMLParser(resolve_entities=False, no_network=True)
etree.parse(io.StringIO(xml_data), parser) - PHP(libxml):
libxml_disable_entity_loader(true);
- Java(使用DocumentBuilder):
-
使用更安全的数据格式:
优先采用JSON替代XML进行数据传输,避免解析复杂结构带来的风险。 -
及时更新解析库:
保持XML处理库最新,修复已知漏洞。 -
输入验证与白名单控制:
对所有XML输入进行严格校验,仅允许必需的元素和属性,拒绝包含DOCTYPE等关键字的请求。 -
运行环境隔离:
XML解析服务应运行在低权限账户下,限制文件系统访问范围。
检测与测试建议
可通过手动构造带外部实体的XML请求测试应用是否受影响。也可使用工具如Burp Suite拦截请求,修改Body内容加入恶意实体,观察响应是否包含预期文件内容或产生DNS/HTTP外联行为。
启用日志记录XML解析异常,监控可疑请求模式,有助于早期发现潜在攻击。
基本上就这些。XXE虽老但依然常见,关键是不让解析器执行危险操作。只要关闭DTD和外部实体,大多数问题都能避免。安全编码习惯加合理配置,就能有效抵御此类攻击。不复杂但容易忽略。
