XXE全称是XML外部实体注入,属于XML解析过程中产生的安全漏洞,当应用程序在解析用户传入的XML数据时,没有限制外部实体的加载,攻击者就可以构造包含恶意外部实体的XML内容,触发非预期的操作,比如读取服务器上的敏感文件、探测内网服务、发起SSRF攻击等。

XXE攻击的核心原理
XML规范中允许定义外部实体,外部实体可以引用本地文件或者远程资源,正常的XML解析过程中如果开启了外部实体解析功能,且未对用户输入的XML内容做校验,攻击者就可以自定义外部实体指向敏感资源。
比如下面是一段恶意的XML payload,尝试读取服务器的/etc/passwd文件:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <foo>&xxe;</foo>
如果应用程序没有禁用外部实体解析,解析这段XML时就会把/etc/passwd的内容赋值给xxe实体,最终在返回结果中输出文件内容,导致敏感信息泄露。
常见的XXE利用场景
读取本地敏感文件
这是最常见的利用方式,通过file协议的外部实体引用服务器上的配置文件、用户数据、密钥文件等,比如读取应用配置中的数据库账号密码,进一步获取数据库权限。
发起SSRF攻击
外部实体可以引用内网的HTTP服务地址,攻击者可以构造指向内网服务的实体,让服务器发起请求,从而探测内网端口、访问内网未对外暴露的服务。
比如下面这段payload可以探测内网192.168.1.100的8080端口是否开放:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://192.168.1.100:8080"> ]> <foo>&xxe;</foo>
盲注XXE利用
如果应用程序解析XML后不会直接返回实体内容,攻击者可以使用盲注方式,把读取到的数据作为参数发送到自己控制的服务器上,通过查看访问日志获取数据。
如何防护XXE攻击
禁用XML外部实体解析
这是最根本的防护方式,不同的XML解析库有不同的配置方式,以下是常见语言的配置示例:
Java防护示例
使用DocumentBuilderFactory解析XML时,禁用外部实体和DTD:
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;
public class XXEProtect {
public static DocumentBuilder getSafeDocumentBuilder() throws Exception {
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
// 禁用DTD,防止外部实体
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// 禁用外部通用实体
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
// 禁用外部参数实体
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
return dbf.newDocumentBuilder();
}
}
Python防护示例
使用xml.etree.ElementTree解析XML时,禁用外部实体:
import xml.etree.ElementTree as ET # 自定义解析器,禁用外部实体 parser = ET.XMLParser(resolve_entities=False) # 解析XML数据时使用自定义解析器 tree = ET.fromstring(xml_data, parser=parser)
PHP防护示例
使用libxml解析XML时,禁用外部实体加载:
<?php // 禁用外部实体加载 libxml_disable_entity_loader(true); // 解析XML $xml = simplexml_load_string($input_xml); ?>
校验用户输入的XML内容
在解析用户传入的XML之前,先校验内容中是否包含DOCTYPE、ENTITY等关键字,过滤掉可能包含恶意实体的请求,不过这种方式容易被绕过,建议作为辅助手段。
避免使用XML作为数据交互格式
如果业务场景允许,尽量使用JSON作为数据交互格式,JSON本身不支持外部实体,从根源上避免XXE漏洞的产生。
最小权限原则
运行应用程序的服务进程尽量使用最小权限,即使发生XXE漏洞,攻击者能读取的文件范围也会受到限制,降低漏洞造成的影响。
XXE漏洞的检测方法
可以使用专门的漏洞扫描工具检测应用程序是否存在XXE漏洞,也可以手动构造包含外部实体的XML请求发送,观察返回结果或者服务器的请求日志,判断是否存在漏洞。如果是盲注类型的XXE,可以通过监控自己服务器的访问日志来确认漏洞是否存在。