彻底禁用DTD和外部实体解析,并通过安全测试验就是XML外部实体注入(XXE)是一种严重的安全漏洞,攻击者利用XML解析器处理外部实体的功能读取服务器文件、发起SSRF攻击或执行拒绝服务攻击。修复高效的方案包括:1)禁用XML解析器的外部实体处理机制;2)使用安全的XML库如defusedxml;3)输入验证过滤敏感关键字;4)输出编码避免直接输出;5)服务器层防御如WAF规则。关键原则
XML外部实体注入(XXE)是一种严重的安全漏洞,攻击者利用XML解析器处理外部实体的功能来读取服务器内部文件、执行远程请求(SSRF)、扫描内网端口或发起拒绝服务攻击。以下是详细解释和修复方案:
XXE 攻击原理
外部实体声明
XML允许定义实体(变量),实体可引用外部资源:xml
]>实体注入
攻击者将恶意实体注入XML输入:xml
&xxe;解析器会将
&xxe;替换为/etc/passwd文件内容。攻击类型
读取本地文件(
file://)发起HTTP请求(
http://)→ SSRF拒绝服务(Billion Laughs 攻击)
端口扫描(结合SSRF)
修复方案
1. 禁用外部实体处理(根本方案)
Java (SAX/DOM)
java
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);.NET (XmlReader)
csharp
var settings = new XmlReaderSettings {
DtdProcessing = DtdProcessing.Prohibit,
XmlResolver = null // 禁用解析器
};Python (lxml)
python
from lxml import etree
parser = etree.XMLParser(resolve_entities=False, no_network=True)2. 使用安全的XML库
优先选择默认禁用外部实体的库:
Java:
OWASP Java Encoder、jackson-dataformat-xmlPython:
defusedxml(替代标准库)python
from defusedxml.ElementTree import parse parse(xml_file)
3. 输入验证与过滤
过滤用户输入的
<!DOCTYPE>和<!ENTITY>声明使用正则表达式拦截敏感关键字(临时缓解):
regex
4. 输出编码
避免直接输出XML解析结果,使用HTML编码:
java
String safeOutput = Encode.forHtmlContent(rawXMLOutput);
5. 服务器层防御
WAF规则:拦截包含 ENTITY、SYSTEM 等关键词的请求
文件权限:限制应用账户对系统文件的访问权限
XXE 检测方法
手动测试
提交测试Payload:
xml
]>
&xxe;
自动化工具
OWASP ZAP、Burp Suite Professional(主动扫描)
XXEinjector(自动化利用工具)
额外注意事项
依赖库风险:即使代码安全,底层库(如Log4j 1.x)可能引入XXE
非文件协议攻击:防范 php://filter、gopher:// 等协议
盲XXE:通过DNS查询或HTTP请求外带数据(需配置外部DTD)
xml
%dtd;
修复后验证
使用单元测试覆盖XXE攻击场景
定期进行安全扫描(SAST/DAST)
渗透测试:尝试读取 /etc/passwd 或触发DNS查询
关键原则:始终禁用DTD和外部实体解析。大多数现代XML解析器提供了明确的开关选项,启用安全配置是防御XXE的核心。
浙公网安备 33010602011771号