XXE漏洞——XML实体定义引起的兼容性问题

迈不过友情╰ 2022-06-06 02:15 163阅读 0赞

# XXE漏洞——XML实体定义引起的兼容性问题 #

--------------------

## 一、XML基础知识    ##

> XML指可扩展的标记语言（Extensible Markup Language），类似于HTML（超文本标记语言）；
> 
> XML被设计用来结构化、存储以及传输信息，其焦点是数据的内容；
> 
> XML没有任何预定义的标签，所有标签均由开发者自定义，开发者可以依据需要定制与业务匹配的结构化标签；  
> 
> 
> XML是对HTML的补充，在大多数WEB应用中，XML用于传输数据，HTML用于格式化并显示数据（XML是独立于软件和硬件的信息传输工具）；
> 
> XML文档结构树包括XML声明、DTD文档类型定义（可选）、文档元素，这种树结构必须包含根节点，该节点是所有其他元素的父元素。
> 
>     <?xml version="1.0" encoding="UTF-8"?>
>     
>     <!DOCTYPE book [
>         <!ELEMENT book (bId, bName)>
>         <!ELEMENT bId (#PCDATA)>
>         <!ELEMENT bName (#PCDATA)>
>     ]>
>     
>     <books>
>         <book>
>             <bId>1</bId>
>             <bName>Java编程思想</bName>
>         </book>
>         <book>
>             <bId>2</bId>
>             <bName>Python实战</bName>
>         </book>
>     </books>
> 
> DTD（文档类型定义）的作用是定义XML文档的合法构建模块，DTD可以在XML文档内声明，也可以引用外部的dtd文件。  
> 
> 
> **内部声明DTD**  
> 
> 
> <!DOCTYPE 根元素 \[元素声明\]>
> 
> **引用外部DTD**
> 
> <!DOCTYPE 根元素 SYSTEM "文件名">
> 
> or  
> 
> 
> <!DOCTYPE 根元素 PUBLIC "PUBLIC\_ID" "文件名">
> 
> **内部声明实体**
> 
> <!ENTITY 实体名称 "实体的值">
> 
> **引用外部实体**
> 
> <!ENTITY 实体名称 SYSTEM "URI“>
> 
> or
> 
> <!ENTITY 实体名称 PUBLIC "PUBLIC\_ID" "URI">  
>

## 二、XML外部实体注入（XML External Entity） ##

> 当允许引用外部实体时，通过构造恶意内容，可导致读取文件、执行系统命令、占用内存、探测内网端口、攻击内网网站等危害。
> 
> 引用外部实体的方式有多种，比如下面这种引用方式可以读取任意文件：
> 
>     <?xml version="1.0" encoding="UTF-8"?>
>     <!DOCTYPE book [
>         <!ENTITY book SYSTEM "F:///etc/passwd">
>     ]>
>     <books>
>         <book>
>             <bId>1</bId>
>             <bName>&book;</bName>
>         </book>
>     </books>
> 
> 实体注入除了可以读取文件之外，还可以将文件内容发送到攻击者网站、执行系统命令、探测内网端口、攻击内网网站等。

## 三、防御XXE攻击    ##

> **方案一：使用开发语言提供的禁用外部实体的方法**
> 
> Java：
> 
>     DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
>     
>     dbf.setExpandEntityReferences(true);
> 
> Python：
> 
>     from lxml import etree
>     
>     xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
>      
> 
> **方案二：过滤用户提交的XML数据**
> 
> 关键词：<!DOCTYPE、<!ENTITI、SYSTEM、PUBLIC等  
>

## 四、在浏览器中的体现    ##

> 使用XML传输数据时，当数据中含有实体时，需要在文档定义中声明实体XML解析器才能正确的解析数据。
> 
> 当数据中可能出现实体时，需要在文档声明中定义好实体内容；
> 
> 这种处理比较简便，在大多数浏览器中也都可以正确解析数据，然而如果需要支持低版本的浏览器，那么这样处理去含有实体定义的XML数据就显得有点危险了。
> 
> 例如，在IE9、IE8上，当浏览器试着去解析一个含有实体定义的XML数据时，由于该浏览器内部会将定义的实体当作实体注入攻击，因此数据解析遇到实体定义时，浏览器直接抛出异常。
> 
> **解决方案：**
> 
> **方案一：**
> 
> 更换高版本浏览器，高版本浏览器不会对内部实体定义做处理。
> 
> **方案二：**
> 
> 改用其他方式传输数据，如JSON。  
> 
> 
>   
>