XXE攻击通过XML外部实体注入读取敏感文件或发起SSRF,C#中使用XmlReaderSettings需设置DtdProcessing.Prohibit且XmlResolver=null以禁用外部实体,避免XDocument.Load或DataSet.ReadXml等不安全解析方式。
在C#开发中,处理XML数据是常见需求,但若未正确配置XML解析器,可能引发严重的安全漏洞——XXE(XML External Entity)攻击。攻击者可利用该漏洞读取服务器本地文件、执行远程请求,甚至导致拒绝服务。理解其原理并采取有效防范措施至关重要。
XXE攻击的原理
XXE(XML External Entity Injection)即“XML外部实体注入”,攻击者通过在XML文档中定义恶意外部实体,诱导解析器加载危险资源。
例如,构造如下XML:
win.ini">
]>
&xxe;
当使用默认配置的XmlReader或XDocument解析时,实体&xxe;会被替换为系统文件内容,导致敏感信息泄露。
攻击还可结合其他技术实现SSRF(服务器端请求伪造),访问内网服务或探测防火墙策略。
常见的易受攻击的C#代码场景
以下写法存在风险:
- 使用
XDocument.Load(xmlPath)且未禁用外部实体 - 直接使用
XmlReader.Create(stream)而不设置安全选项 - 通过
DataSet.ReadXml()解析不可信XML(尤其危险)
DataSet.ReadXml() 特别危险,因其默认启用DTD处理且难以完全控制,应避免用于不可信输入。
防范XXE攻击的有效措施
核心原则:禁用外部实体和DTD处理,使用最小权限解析XML。
推荐做法如下:
- 使用
XmlReaderSettings显式关闭DTD和外部实体:
settings.DtdProcessing = DtdProcessing.Prohibit;
settings.XmlResolver = null;
using var reader = XmlReader.Create(stream, settings);
XDocument doc = XDocument.Load(reader);
- 对于
XmlDocument,同样设置XmlResolver = null并禁用DTD:
doc.XmlResolver = null;
doc.Load(inputStream); // 确保外部解析器已置空
- 避免使用
DataSet.ReadXml()处理来自用户或网络的XML数据 - 若必须使用DTD,考虑在隔离环境中预处理,或改用JSON等更安全的数据格式
- 对所有XML输入进行严格验证,限制结构和大小
总结
XXE漏洞源于XML解析器对外部实体的默认信任行为。在C#中,只要正确配置XmlReaderSettings,将DtdProcessing设为Prohibit或Ignore,并置空XmlResolver,即可有效防御此类攻击。关键在于不依赖默认设置,始终以安全优先的方式解析不可信XML。
基本上就这些。
