1. 描述
在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题
2. 场景
- 解析 xml 字符串
- 解析 xml 文件
3. 复现问题
3.1 解析 XML 文件或 xml 字符串
- 待解析 xml 文件,命名为 xxe.xml
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>
其中 <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
就是隐藏的外部实体
- 使用 dom4j jar 版本小于 2.1.3
public class XXE {
public static void main(String[] args) throws Exception {
SAXReader reader = new SAXReader();
File file = new File("src/main/resources/xxe.xml");
Document document = reader.read(file);
Element root = document.getRootElement();
List<Element> childElements = root.elements();
for (Element child : childElements) {
System.out.printf(child.getStringValue());
}
}
}
- 运行结果
&xxe;
....
_captiveagent:*:258:258:captiveagent:/var/empty:/usr/bin/false
....
_reportmemoryexception:*:269:269:ReportMemoryException:/var/db/reportmemoryexception:/usr/bin/false
_driverkit:*:270:270:DriverKit:/var/empty:/usr/bin/false
....
将 mac 上的/etc/passwd文件内容读取并打印出来了, 这个命令<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
被执行了
XXE 不仅能将系统文件读取,也能执行其他命令,如果接口将这些信息返回, 将直接展示在黑客面前
如果接口没有这些信息返回,也可以通过反弹命令将这些内容以请求的形式发送到黑客的服务器上
4. 如何解决 XXE
4.1 升级第三方组件版本至安全版本
在上面的例子中使用到 dom4j jar的 2.1.1 版本, 此 jar 在低于 2.1.3 版本下都存在 XXE 安全漏洞,在 2.1.3 中修复了问题
pom信息
<dependency>
<groupId>org.dom4j</groupId>
<artifactId>dom4j</artifactId>
<version>2.1.3</version>
</dependency>
源码中修复 XXE 漏洞详情, 在 2.1.3 中新增静态方法 createDefault(),在个方法中设置了三个 Feature, 完美解决问题
public static SAXReader createDefault() {
SAXReader reader = new SAXReader();
try {
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
} catch (SAXException var2) {
}
return reader;
}
可以将上面例子的代码修改成如下即可
public class XXE {
public static void main(String[] args) throws Exception {
SAXReader reader = SAXReader.createDefault();
File file = new File("src/main/resources/xxe.xml");
Document document = reader.read(file);
Element root = document.getRootElement();
List<Element> childElements = root.elements();
for (Element child : childElements) {
System.out.printf(child.getStringValue());
}
}
}
4.2 主动防御外部实体
在 dom4j 的源码中也是通过设置 Featrue 来防御 XXE 安全漏洞,我们也可以模仿主动进行防御设置
public class XXE {
public static void main(String[] args) throws Exception {
SAXReader reader = new SAXReader();
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
// 防止外部实体POC
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
// 防止参数实体POC
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
File file = new File("src/main/resources/xxe.xml");
Document document = reader.read(file);
Element root = document.getRootElement();
List<Element> childElements = root.elements();
for (Element child : childElements) {
System.out.printf(child.getStringValue());
}
}
}