概述
XXEXXE全称XML External Entity Injection,也就是XML外部实体注入。
它是对解析XML输入的应用程序的一种攻击。当配置不当的XML处理器处理包含对外部实体的引用的XML输入时,就会发生此攻击。
XML的作用
XML 被设计用来传输和存储数据,其关注点是数据的内容。 XML 旨在传输信息。要解释XML数据,应用程序需要XML解析器。XML文档可以是特定类型。可以通过指定类型定义在文档中声明此类型。XML解析器会在处理文档之前验证XML文档是否遵守此类型定义。您可以使用两种类型的类型定义:XML架构定义(XSD)或文档类型定义(DTD)。XXE漏洞发生在“文档类型定义”中。
什么是DTD(文档类型定义)
DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。 DTD的声明:指XML文档中声明该文档的DTD或DTD来源的部分,可以包含在使用它的XML文档内部,也可以以独立的DTD文档(*.dtd)文档存在。所以DTD一般认为有两种引用或声明方式:
1、内部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在XML文档中。
2、外部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在一个独立的DTD文件(.dtd)中。
DTD文档的三种形式:
内部DTD类型:<!DOCTYPE 根元素[子元素声明]>外部DTD类型:<!DOCTYPE 根元素 SYSTEM "DTD文件路径">
内外部DTD文档结合:<!DOCTYPE 根元素 SYSTEM "DTD文件路径" [定义内容]>
在XXE中最常用的是内部DTD类型。
在DTD内,我们可以声明外部实体。
什么是XML实体(ENTITY)
实体是用于定义引用普通文本或者特殊字符的快捷方式的变量。XML实体几乎可以来自任何地方-包括外部资源(因此称为XML外部实体)。
在DTD中的实体类型,一般分为:内部实体和外部实体,细分又分为普通实体和参数实体。
实体的具体分类
预定义:< &
> <
& &
' '
" "
内部实体:<!ENTITY 实体名称 "实体的值">
外部实体:<!ENTITY 实体名称 SYSTEM "URI/URL">
内部实体和外部实体统称为普通实体
普通实体的引用方式是&普通实体名;
参数实体:<!ENTITY % 实体名 "实体内容">
参数实体的引用方式是%实体名;
普通实体和参数实体可能是:
内部的(定义在当前DTD中)
外部的(定义在外部资源中)
可能造成XXE的风险因素
该应用程序解析XML文档实体的系统标识符部分,文档类型声明(DTD)中允许使用受污染的数据
XML解析器配置为验证和处理DTD
XML解析器配置为解析DTD内的外部实体
XXE的影响
本地文件读取内网访问
主机扫描/端口扫描
远程代码执行(不常用)
拒绝服务攻击
防御
尽可能使用简单的数据格式(如JSON),并避免敏感数据序列化。修补或升级XML处理器和库。使用依赖项检查器。
在应用程序的所有XML解析器中禁用XML外部实体和DTD处理。
在服务器端使用白名单输入验证,过滤或清理,防止XML文档、表头、节点内的恶意数据。
XML或XSL文件上传功能使用XSD(XML架构定义)验证传入的XML。
SAST根据检测源代码中的XXE。
使用虚拟补丁程序,API安全网关或Web应用程序防火墙(WAF)来检测和阻止XXE攻击