答案是XXE攻击通过恶意外部实体读取文件、发起SSRF或DoS,需禁用外部实体解析。1. 配置解析器关闭DTD和外部实体;2. 使用defusedxml等安全库;3. 优先采用JSON替代XML;4. 校验输入并更新依赖,测试含file://的XML确保无泄露。
XML解析过程中的安全性问题主要集中在外部实体的处理上,尤其是XXE(XML External Entity)攻击。攻击者通过构造恶意的XML内容,利用解析器默认加载外部实体的特性,实现读取服务器本地文件、发起SSRF(服务端请求伪造)、探测内网或导致拒绝服务等攻击。以下是常见风险及预防XXE攻击的实用指南。
常见的XML解析安全问题
1. XXE(XML外部实体注入):攻击者在XML中定义外部实体,指向本地文件(如/etc/passwd)或远程URL,解析时被加载并返回内容。
2. SSRF(服务端请求伪造):通过外部实体访问内部系统接口,如http://localhost:8080/admin,绕过防火墙限制。
3. 文件读取泄露:利用file://协议读取敏感配置文件、密钥或日志。
4. DoS(拒绝服务)攻击:通过“亿次Billion Laughs”攻击,定义层层嵌套的实体,耗尽内存资源。
如何禁用外部实体以防止XXE
核心原则是:关闭所有不必要的外部实体解析功能。具体操作因语言和解析器而异:
- Java (DOM/SAX/StAX):使用DocumentBuilderFactory时,显式禁用外部DTD和实体:
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setExpandEntityReferences(false);- Python (lxml):使用defusedxml库替代原生xml.etree.ElementTree或lxml:
from defusedxml.lxml import parse # 自动禁用外部实体
- .NET (XmlReader):配置XmlReaderSettings禁止DTD:
var settings = new XmlReaderSettings(); settings.DtdProcessing = DtdProcessing.Prohibit; settings.XmlResolver = null;
安全处理XML的最佳实践
1. 使用简化数据格式替代XML:在可控场景下,优先使用JSON等无复杂解析特性的格式,减少攻击面。
2. 不解析不可信的XML:来自第三方或用户的XML应视为潜在威胁,必须经过严格校验或拒绝处理。
3. 最小化解析器功能:仅启用业务必需的XML特性,关闭DTD、XInclude、外部实体等高风险功能。
4. 使用专用防护库:如Python的defusedxml、Java的Anti-XXE工具类,封装安全默认配置。
5. 输入过滤与白名单验证:对XML内容进行预扫描,检测DOCTYPE、ENTITY等关键字并拦截。
6. 及时更新解析器依赖:保持XML处理库为最新版本,修复已知漏洞。
验证是否已有效防御XXE
测试方法:提交包含以下内容的XML片段,确认应用不解析且不报错敏感信息:
]> &xxe;
若返回错误但未泄露文件内容,说明防护生效。建议在测试环境模拟攻击验证配置。
基本上就这些。XXE虽老,但因配置疏忽仍频繁出现。关键是不要依赖解析器默认设置,主动关闭危险功能,用简单方式处理复杂数据。
