导读:本期聚焦于小伙伴创作的《XXE (XML外部实体注入)攻击是什么,如何保护应用程序免受其害?》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《XXE (XML外部实体注入)攻击是什么,如何保护应用程序免受其害?》有用,将其分享出去将是对创作者最好的鼓励。

XXE全称是XML外部实体注入,属于XML解析过程中产生的安全漏洞,当应用程序在解析用户传入的XML数据时,没有限制外部实体的加载,攻击者就可以构造包含恶意外部实体的XML内容,触发非预期的操作,比如读取服务器上的敏感文件、探测内网服务、发起SSRF攻击等。

XXE (XML外部实体注入)攻击是什么,如何保护应用程序免受其害?

XXE攻击的核心原理

XML规范中允许定义外部实体,外部实体可以引用本地文件或者远程资源,正常的XML解析过程中如果开启了外部实体解析功能,且未对用户输入的XML内容做校验,攻击者就可以自定义外部实体指向敏感资源。

比如下面是一段恶意的XML payload,尝试读取服务器的/etc/passwd文件:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<foo>&xxe;</foo>

如果应用程序没有禁用外部实体解析,解析这段XML时就会把/etc/passwd的内容赋值给xxe实体,最终在返回结果中输出文件内容,导致敏感信息泄露。

常见的XXE利用场景

读取本地敏感文件

这是最常见的利用方式,通过file协议的外部实体引用服务器上的配置文件、用户数据、密钥文件等,比如读取应用配置中的数据库账号密码,进一步获取数据库权限。

发起SSRF攻击

外部实体可以引用内网的HTTP服务地址,攻击者可以构造指向内网服务的实体,让服务器发起请求,从而探测内网端口、访问内网未对外暴露的服务。

比如下面这段payload可以探测内网192.168.1.100的8080端口是否开放:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://192.168.1.100:8080">
]>
<foo>&xxe;</foo>

盲注XXE利用

如果应用程序解析XML后不会直接返回实体内容,攻击者可以使用盲注方式,把读取到的数据作为参数发送到自己控制的服务器上,通过查看访问日志获取数据。

如何防护XXE攻击

禁用XML外部实体解析

这是最根本的防护方式,不同的XML解析库有不同的配置方式,以下是常见语言的配置示例:

Java防护示例

使用DocumentBuilderFactory解析XML时,禁用外部实体和DTD:

import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;

public class XXEProtect {
    public static DocumentBuilder getSafeDocumentBuilder() throws Exception {
        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        // 禁用DTD,防止外部实体
        dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        // 禁用外部通用实体
        dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
        // 禁用外部参数实体
        dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        return dbf.newDocumentBuilder();
    }
}

Python防护示例

使用xml.etree.ElementTree解析XML时,禁用外部实体:

import xml.etree.ElementTree as ET

# 自定义解析器,禁用外部实体
parser = ET.XMLParser(resolve_entities=False)
# 解析XML数据时使用自定义解析器
tree = ET.fromstring(xml_data, parser=parser)

PHP防护示例

使用libxml解析XML时,禁用外部实体加载:

<?php
// 禁用外部实体加载
libxml_disable_entity_loader(true);
// 解析XML
$xml = simplexml_load_string($input_xml);
?>

校验用户输入的XML内容

在解析用户传入的XML之前,先校验内容中是否包含DOCTYPE、ENTITY等关键字,过滤掉可能包含恶意实体的请求,不过这种方式容易被绕过,建议作为辅助手段。

避免使用XML作为数据交互格式

如果业务场景允许,尽量使用JSON作为数据交互格式,JSON本身不支持外部实体,从根源上避免XXE漏洞的产生。

最小权限原则

运行应用程序的服务进程尽量使用最小权限,即使发生XXE漏洞,攻击者能读取的文件范围也会受到限制,降低漏洞造成的影响。

XXE漏洞的检测方法

可以使用专门的漏洞扫描工具检测应用程序是否存在XXE漏洞,也可以手动构造包含外部实体的XML请求发送,观察返回结果或者服务器的请求日志,判断是否存在漏洞。如果是盲注类型的XXE,可以通过监控自己服务器的访问日志来确认漏洞是否存在。

XXEXML外部实体注入XML解析安全防护web安全修改时间:2026-06-27 07:00:29

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。