1.8 XML实体注入漏洞(XXE)

0x01 漏洞描述

XML 指可扩展标记语言(eXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,被设计用来传输和存储数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。目前,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVG header)应用比较广泛。 XML 的语法规范由 DTD (Document Type Definition)来进行控制。

XML外部实体注入(XML External Entity Injection)漏洞是指当恶意用户在提交一个精心构造的包含外部实体引用的XML文档给未正确配置的XML解析器处理时,该攻击就会发生。

0x02 常见应用场景

XXE可能出现在一切可接收XML文档的业务逻辑处。

SOAP型Web Service。SOAP型的Web Service允许我们使用XML格式与服务器进行通信。

REST型Web Service。REST型Web Service允许我们使用JSON格式(也可以使用XML格式)与服务器进行通信。与HTTP类似,该类型服务支持GET、POST、PUT、DELETE方法。

WSDL给出了SOAP型Web Service的基本定义,WSDL基于XML语言,描述了与服务交互的基本元素,比如函数、数据类型、功能等,少数情况下,WSDL也可以用来描述REST型Web Service。

WADL就像是WSDL的REST版,一般用于REST型Web Service,描述与Web Service进行交互的基本元素。

比如:采用RESTful架构风格的终端通常都是以JSON作为传输格式,但是许多服务端开发框架也允许基于数据交换的XML格式作为输入,可以通过尝试将 Content-Type修改为application/xml,text/xml进行验证。

另外,采用xml的java服务中间件,比如spring,struts2等也可能出现XXE漏洞

0x03 漏洞危害

  1. 利用 XXE 进行 DOS 攻击;
  2. 读取本地任意敏感文件;
  3. 利用相关协议进行SSRF探测内网主机IP、端口等信息;
  4. 在特定条件下利用Java中的jar:// 协议,php 中的 phar://可能导致恶意文件上传;
  5. PHP中如果安装了expect扩展,可利用XXE执行任意命令

0x04 修复建议

4.1 使用语言中推荐的禁用外部实体的方法

PHP:

libxml_disable_entity_loader(true);

Java:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

Python:

from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

4.2 手动黑名单过滤

过滤XML中的相关关键词,比如:<!DOCTYPE<!ENTITY SYSTEMPUBLIC等。

最后修改:2021 年 06 月 23 日 11 : 09 PM
如果觉得我的文章对你有用,请随意赞赏