XXE（XML 外部实体注入）的攻防

以下是关于 XXE（XML 外部实体注入）的攻防汇总：

 

一、攻击方手段

 

1. 外部实体引用攻击

 

- 攻击原因：通过在 XML 文档中引入外部实体，可以让解析器去获取外部资源。攻击者可以利用这个特性来读取服务器上的敏感文件，或者向外部服务器发送请求，从而泄露服务器的内部信息或者进行其他恶意操作。

- 例如，攻击者可以构造一个包含外部实体引用的 XML 文档，如“]>&xxe;”，当服务器解析这个 XML 文档时，会尝试读取 /etc/passwd 文件并将其内容包含在响应中，攻击者就可以获取服务器上的用户信息。

2. 拒绝服务攻击

 

- 攻击原因：通过构造恶意的 XML 文档，让服务器在解析过程中消耗大量的资源，从而导致拒绝服务。攻击者可以利用外部实体的递归引用或者引用非常大的文件，使服务器陷入无限循环或者耗尽内存。

- 比如，构造一个 XML 文档，其中的外部实体不断引用自身，如“]>&xxe;&xxe;&xxe;...”，当服务器解析这个文档时，会不断尝试读取 /dev/random 文件，导致服务器资源被大量消耗，最终无法响应正常请求。

 

二、防御方措施

 

1. 禁用外部实体

 

- 防御原因：禁用 XML 解析器对外部实体的解析可以有效地防止 XXE 攻击。大多数现代的 XML 解析库都提供了禁用外部实体的选项，通过设置这个选项，可以确保解析器不会去获取外部资源，从而避免了 XXE 攻击的风险。

- 例如，在使用 Java 的 XML 解析库时，可以通过设置特定的属性来禁用外部实体解析。“DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);”

2. 输入验证和过滤

 

- 防御原因：对用户输入的 XML 数据进行严格的验证和过滤可以防止恶意的 XML 文档被提交到服务器。验证 XML 文档的结构、元素和属性，过滤掉可能包含外部实体引用的字符和标签，可以减少 XXE 攻击的风险。

- 例如，在服务器端对用户提交的 XML 数据进行检查，确保其中不包含“<!ENTITY”等可能用于外部实体引用的标签。如果发现可疑的内容，可以拒绝接受该 XML 文档或者进行进一步的处理。

3. 安全配置服务器

 

- 防御原因：正确配置服务器可以增强服务器的安全性，减少 XXE 攻击的风险。例如，限制服务器对外部资源的访问权限，避免服务器在解析 XML 文档时能够访问敏感文件或外部服务器。

- 可以通过设置服务器的防火墙规则、访问控制列表等方式来限制服务器对外部资源的访问。同时，及时更新服务器的软件和库，以修复可能存在的安全漏洞。