XXE漏洞发生于XML解析器处理外部实体时,攻击者通过构造恶意DTD读取文件、探测内网、触发SSRF或DoS;防御需禁用外部实体、使用安全替代格式、更新库并验证输入。
XML实体注入漏洞,通常称为XXE(XML External Entity Injection),是一种发生在应用程序解析XML输入时的安全缺陷。当XML解析器被配置为处理外部实体,并且没有对用户提交的内容进行严格限制时,攻击者就能构造恶意的XML数据来触发该漏洞。
XXE漏洞是怎么发生的?
核心问题出在XML的“外部实体”功能上。XML允许通过DTD(文档类型定义)来声明实体,其中“外部实体”可以指向一个文件或网络资源的URI。如果服务器端的解析器开启了加载外部实体的功能,攻击者就可以利用这一点。
比如,攻击者可以提交一个包含如下内容的XML:
]>
&xxe;
一旦这个XML被解析,解析器就会尝试读取服务器上的/etc/passwd文件,并可能将文件内容作为响应的一部分返回给攻击者,从而导致敏感信息泄露。
这种攻击能造成哪些危害?
XXE漏洞的危害非常广泛,远不止读取文件这么简单。
-
读取服务器敏感文件:利用
file://协议,可以读取系统配置文件、数据库密码、SSH密钥等关键信息。 -
进行内网端口扫描和探测:通过让服务器用
http://或https://协议去请求内网IP的不同端口,根据响应时间或错误信息,判断内网服务的开放情况,为后续攻击提供情报。 - 发起服务器端请求伪造(SSRF):与内网探测类似,但更进一步,可以用来攻击那些只允许内网访问的脆弱服务,比如Redis、FastCGI等。
- 导致拒绝服务(DoS):构造特殊的实体引用,例如创建巨大的数据量或无限循环引用,消耗服务器的CPU和内存资源,使服务瘫痪。
-
执行任意代码(在特定条件下):虽然不常见,但在一些老旧或配置不当的环境中,结合其他协议(如
expect://)或服务,有可能实现远程代码执行。
如何有效防御XXE攻击?
防范XXE的关键是禁用不必要的外部实体功能,并对输入进行安全处理。
-
禁用外部实体解析:这是最直接有效的方法。在代码层面,应确保XML解析库的配置禁止加载外部实体。例如,在PHP中,使用
libxml_disable_entity_loader(true);在Java中,需要正确配置DocumentBuilderFactory,设置相关属性为false。 -
使用更安全的替代方案:如果业务场景允许,考虑使用JSON等更轻量级且不易受此类攻击的数据格式来替代XML。 - 更新和修补底层库:确保使用的XML解析库(如libxml2)是最新版本。较新的版本(如libxml2 2.9.1+)已经默认禁用了危险的外部实体解析。
-
对输入进行过滤和验证:虽然不能完全依赖,但作为纵深防御的一环,应对用户提交的XML数据进行严格的白名单校验,过滤掉潜在的恶意关键字,如
/code>和。
使用更安全的替代方案:如果业务场景允许,考虑使用JSON等更轻量级且不易受此类攻击的数据格式来替代XML。
