XXE攻击是因XML解析器启用外部实体导致的安全漏洞,可读取本地文件、触发SSRF或DoS;防范需禁用DTD与外部实体、使用安全库、输入验证及最小权限配置。
XXE(XML外部实体注入)攻击是一种针对解析XML输入的应用程序的安全漏洞。当应用程序在处理XML数据时,启用了外部实体解析,并且没有对输入进行严格过滤,攻击者就可以构造恶意的XML内容,读取服务器本地文件、执行远程请求,甚至实现服务器端请求伪造(SSRF)或拒绝服务攻击。
XXE攻击的常见形式
攻击者通常利用XML中的DOCTYPE定义来引入外部实体。例如:
]>
&xxe;
如果应用程序解析该XML并返回结果,就可能泄露系统敏感文件内容。
- 读取本地系统文件(如 /etc/passwd)
- 发起带外(OOB)请求,通过DNS或HTTP回连获取数据
- 探测内网服务或触发SSRF
- 导致资源耗尽,引发拒绝服务(如 billion laughs 攻击)
如何防范XXE攻击
保护应用程序的关键是禁用危险的XML功能,并对输入进行安全处理。
禁用外部实体和DTD解析大多数编程语言的XML解析器都支持关闭外部实体。例如:
- Java (DocumentBuilder):设置 `setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)` 和禁用外部实体
- Python (lxml):使用 `defusedxml` 库替代标准库,或禁用实体解析
- .NET (XmlReader):设置 `DtdProcessing` 为 Prohibit 或 Ignore
- PHP:使用 `libxml_disable_entity_loader(true)`
如果业务允许,尽量使用更安全的数据格式,如JSON。若必须使用XML,应验证其结构并限制复杂度。
使用白名单验证输入
对所有XML输入进行严格校验,只允许预期的元素和属性,拒绝包含DOCTYPE或ENTITY声明的内容。
更新和加固依赖库确保使用的XML解析库是最新版本,及时修复已知漏洞。使用专门设计用于防御XXE的库(如Python的defusedxml)。
配置服务器权限最小化即使发生XXE,也应确保运行XML解析的服务账户无权访问敏感文件,降低信息泄露风险。
基本上就这些。只要禁用不必要的XML特性,并保持输入验证严谨,就能有效防止绝大多数XXE攻击。安全的核心在于“不信任用户输入”,尤其在处理复杂数据格式时更需谨慎。
