XML文档可以从一个很小的逻辑块(实体)开始动态构建。实体可以是内部的、外部的或者基于参数的。外部实体运行是将外部文件中的 XML 包含进来。攻击者可以通过操作实例的 URI, 使其指向特定的在当前文件系统中保存的文件,从而造成拒绝服务或程序崩溃,比如:指定/dev/random 或者/ dev/tty作为输入的 URI, 这可能造成永久阻塞程序或者程序崩溃。
对于预防XML外部实体攻击的情况,示例1给出了不规范用法(Java 语言)示例。示例2给出了 规范用法(Java 语言)示例。
java
示例1:
class XXE {
private static void receiveXMLStream(InputStreaminStream,
DefaultHandlerdefaultHandler)
throws ParserConfigurationException, SAXException, IOException {
SAXParserFactory factory = SAXParserFactory.newInstance();
SAXParsersaxParser = factory.newSAXParser();
saxParser.parse(inStream, defaultHandler);
public static void main(String[] args) throws ParserConfigurationException,
SAXException,IOException {
try {
receiveXMLStream(new FilelnputStream("evil.xml"),new DefaultHandler());
}catch(java.net.MalformedURLExceptionmue){
System.err.println("Malformed URL Exception:"+ mue);
}
}上面的代码尝试对 evil.xml进行解析,并且报告相关错误后退出。然而,SAX 或者 DOM 解析器
会尝试访问在SYSTEM 属性中标识的 URL, 这意味着它将读取一个本地的/dev/try文件的内容。在
POSIX 系统中,读取这个文件会导致程序阻塞,直到可以通过计算机控制台得到输入数据为止。攻击 者可以使用这一类的恶意XML 文件来导致系统挂起。
如果 evil.xml文件中包含以下文本,程序会受到远程 XXE 攻击。
XML
<? xml version="1.0"?>
<!DOCTYPE foo SYSTEM "file:/dev/tty">
<foo)bar</foo)使用 EntityResolver方案来防止 XML 外部实体注入。
java
示例2:
class CustomResolver implements EntityResolver {
public InputSourceresolveEntity(String publicld, String systemld)
throws SAXException, IOException {
// Check for known good entities
String entityPath ="file:/Users/onlinestore/good.xml";
if (systemld.equals(entityPath)){
System.out.println("Resolving entity:"+ publicld+""+ systemld);
return new InputSource(entityPath);
} else {
// Disallow unknown entities by returning a blank path
return new InputSource();
}
}
}针对不规范的代码示例的解决方案是,定义一个 CustomResolver 类,这个类实现了org.xml.sax. EntityResolver接口。它可以让SAX 应用定制对外部实体的处理。这个定制的处理器使用的是一个 为外部实体定义的简单的白名单。当输入不是任何指定的、安全的实体源路径时,resolverEntity()方 法会返回一个空的 InputSource 对象。
setEntityResolver()方法可以将对应的 SAX 驱动实例注册进来。当解析恶意输入时,这个由自定义解析器返InputStream 对象会抛出 java.net.MalformedURLException 异常。需要注意的是,应创建一个XMLReader对象,以便通过这个对象来设置自定义的实体解析器。
java
class XXE{
private static void receiveXMLStream(InputStreaminStream,DefaultHandlerdefaultHandler)
throws ParserConfigurationException, SAXException,IOException{
SAXParserFactory factory = SAXParserFactory.newInstance();
SAXParsersaxParser = factory.newSAXParser();
// To set the Entity Resolver,an XML reader needs to be created
XMLReader reader = saxParser.getXMLReader();
reader.setEntityResolver(new CustomResolver());
reader.setErrorHandler(defaultHandler);
InputSource is = new InputSource(inStream);
reader.parse(is);
public static void main(String[] args)throws ParserConfigurationException, SAXException, IOException{
receiveXMLStream(new FileInputStream("evil.xml"),
new DefaultHandler());
}
}