XXE漏洞源于XML解析器未禁用外部实体引用,导致文件读取、内网探测等风险;常见于用户提交XML解析、老旧解析器配置及解析结果直接输出场景;防御需禁用DTD与外部实体、优先使用JSON、最小权限运行并结合工具检测。
XXE(XML External Entity)漏洞,是由于应用程序在解析XML时,未禁用外部实体引用功能,导致攻击者能通过构造恶意XML,读取服务器本地文件、发起内网探测,甚至执行远程请求。核心风险在于:XML解析器默认可能加载定义的外部资源(如file:///etc/passwd或http://192.168.1.100),而程序又直接输出或使用了这些内容。
哪些场景容易出现XXE
常见于以下情况:
- 接收用户提交的XML数据并直接解析(如API接口、配置上传、SOAP服务)
-
后端使用老旧或默认配置的XML解析器(如Java的
DocumentBuilder、PHP的libxml、Python的xml.etree.ElementTree) - 将XML解析结果拼接到日志、响应或数据库中,间接造成信息泄露或SSRF
关键防御措施
防范XXE不是加一层过滤,而是从解析器行为源头控制:
-
禁用外部实体和DTD处理:大多数现代解析器都提供开关。例如Java中设置
setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);PHP中调用libxml_disable_entity_loader(true)(PHP 8.0+已默认禁用);Python推荐改用defusedxml库替代原生xml模块 - 避免直接解析不可信XML:优先考虑用JSON替代XML交互;若必须用XML,先做白名单校验(如只允许特定标签、属性)或转为安全格式再解析
- 最小权限运行解析进程:XML解析代码不要以root或高权限账户运行,限制其对文件系统和网络的访问能力,降低泄露或探测影响
快速自查与测试方法
开发或测试阶段可简单验证是否仍存在风险:
- 向接口发送含
]>的XML,观察响应是否返回服务器主机名&xxe; - 检查代码中XML解析相关初始化逻辑,确认是否显式关闭了
DOCTYPE、external-general-entities等特性 - 使用工具扫描(如Burp Suite的Active Scan、Bandit对Python项目)辅助识别不安全的解析调用
基本上就这些。XXE不复杂但容易忽略,默认配置往往是最大破绽。守住解析器这一关,绝大多数XXE风险就能消除。
