一、介紹

現在越來越多主要的web程序被發現和報告存在XXE(XML External Entity attack)漏洞，比如說facebook、paypal等等。 舉個例子，我們掃一眼這些網站最近獎勵的漏洞，充分證實了前面的說法。盡管XXE漏洞已經存在了很多年，但是它從來沒有獲得它應得的關注度。很多XML的解析器默認是含有XXE漏洞的，這意味著開發人員有責任確保這些程序不受此漏洞的影響。

[[184002]]

本文主要討論什么是XML外部實體，這些外部實體是如何被攻擊的。

二、什么是XML外部實體?

如果你了解XML，你可以把XML理解為一個用來定義數據的東東。因此，兩個采用不同技術的系統可以通過XML進行通信和交換數據。 比如，下圖就是一個用來描述一個職工的XML文檔樣本，其中的’name’,'salary’,'address’ 被稱為XML的元素。

有些XML文檔包含system標識符定義的“實體”，這些XML文檔會在DOCTYPE頭部標簽中呈現。這些定義的’實體’能夠訪問本地或者遠程的內容。比如，下面的XML文檔樣例就包含了XML ‘實體’。

在上面的代碼中， XML外部實體 ‘entityex’ 被賦予的值為：file://etc/passwd。在解析XML文檔的過程中，實體’entityex’的值會被替換為URI(file://etc/passwd)內容值(也就是passwd文件的內容)。 關鍵字’SYSTEM’會告訴XML解析器，’entityex’實體的值將從其后的URI中讀取。因此，XML實體被使用的次數越多，越有幫助。

三、什么是XML外部實體攻擊?

有了XML實體，關鍵字’SYSTEM’會令XML解析器從URI中讀取內容，并允許它在XML文檔中被替換。因此，攻擊者可以通過實體將他自定義的值發送給應用程序，然后讓應用程序去呈現。 簡單來說，攻擊者強制XML解析器去訪問攻擊者指定的資源內容(可能是系統上本地文件亦或是遠程系統上的文件)。比如，下面的代碼將獲取系統上folder/file的內容并呈獻給用戶。

四、怎么甄別一個XML實體攻擊漏洞?

最直接的回答就是： 甄別那些接受XML作為輸入內容的端點。 但是有時候，這些端點可能并不是那么明顯(比如，一些僅使用JSON去訪問服務的客戶端)。在這種情況下，滲透測試人員就必須嘗試不同的測試方式，比如修改HTTP的請求方法，修改Content-Type頭部字段等等方法，然后看看應用程序的響應，看看程序是否解析了發送的內容，如果解析了，那么則可能有XXE攻擊漏洞。

五、如何確認XXE漏洞?

出于演示的目的，我們將用到一個Acunetix維護的demo站點，這個站點就是: http://testhtml5.vulnweb.com/。這個站點可用于測試Acunetix web掃描器的功能。 訪問 http://testhtml5.vulnweb.com/ 站點，點擊 ‘Login’下面的 ‘Forgot Password’ 鏈接。注意觀察應用程序怎樣使用XML傳輸數據，過程如下圖所示：

請求：

響應：

觀察上面的請求與響應，我們可以看到，應用程序正在解析XML內容，接受特定的輸入，然后將其呈現給用戶。為了測試驗證XML解析器確實正在解析和執行我們自定義的XML內容，我們發送如下的請求

修改后的請求和響應：

如上圖所示，我們在上面的請求中定義了一個名為myentity、值為’testing’的實體。 響應報文清晰地展示了解析器已經解析了我們發送的XML實體，然后并將實體內容呈現出來了。 由此，我們可以確認，這個應用程序存在XXE漏洞。

六、如何進行XXE攻擊?

Code 1: 
 
     
 
    1. To read files on same server: 
 
     
 
     <?xml version="1.0" encoding="ISO-8859-1"?> 
 
     
 
     <!DOCTYPE foo [  
 
     
 
     <!ENTITY myentity SYSTEM "file:///location/anyfile" >]> 
 
     
 
     <abc>&myentity;</abc> 
 
     
 
    2. To crash the server / Cause denial of service: 
 
     
 
     <?xml version="1.0"?> 
 
     
 
     <!DOCTYPE lolz [ 
 
     
 
     <!ENTITY lol "lol"> 
 
     
 
     <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> 
 
     
 
     <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> 
 
     
 
     <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> 
 
     
 
     <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> 
 
     
 
     <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> 
 
     
 
     <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> 
 
     
 
     <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> 
 
     
 
     <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;"> 
 
     
 
     ]> 
 
     
 
     <lolz>&lol9;</lolz> 

上面樣例代碼1中的XXE漏洞攻擊就是著名的’billion laughs’(https://en.wikipedia.org/wiki/Billion_laughs)攻擊，該攻擊通過創建一項遞歸的 XML 定義，在內存中生成十億個”Ha!”字符串，從而導致 DDoS 攻擊。原理為：構造惡意的XML實體文件耗盡可用內存，因為許多XML解析器在解析XML文檔時傾向于將它的整個結構保留在內存中，解析非常慢，造成了拒絕服務器攻擊。除了這些，攻擊者還可以讀取服務器上的敏感數據，還能通過端口掃描，獲取后端系統的開放端口。

影響:

此漏洞非常危險, 因為此漏洞會造成服務器上敏感數據的泄露，和潛在的服務器拒絕服務攻擊。

補救措施：

上面討論的主要問題就是XML解析器解析了用戶發送的不可信數據。然而，要去校驗DTD(document type definition)中SYSTEM標識符定義的數據，并不容易，也不大可能。大部分的XML解析器默認對于XXE攻擊是脆弱的。因此，最好的解決辦法就是配置XML處理器去使用本地靜態的DTD，不允許XML中含有任何自己聲明的DTD。

比如下面的Java代碼，通過設置相應的屬性值為false，XML外部實體攻擊就能夠被阻止。因此，可將外部實體、參數實體和內聯DTD 都被設置為false，從而避免基于XXE漏洞的攻擊。

以下是代碼的第二段

import javax.xml.parsers.DocumentBuilderFactory; 
 
     
 
    import javax.xml.parsers.ParserConfigurationException; // catching unsupported features 
 
     
 
    ... 
 
     
 
     DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 
 
     
 
     try { 
 
     
 
     // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-general-entities 
 
     
 
     // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-general-entities 
 
     
 
     String FEATURE = "http://xml.org/sax/features/external-general-entities"; 
 
     
 
     dbf.setFeature(FEATURE, false); 
 
     
 
     // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-parameter-entities 
 
     
 
     // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities 
 
     
 
     FEATURE = "http://xml.org/sax/features/external-parameter-entities"; 
 
     
 
     dbf.setFeature(FEATURE, false); 
 
     
 
     // Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl 
 
     
 
     FEATURE = "http://apache.org/xml/features/disallow-doctype-decl"; 
 
     
 
     dbf.setFeature(FEATURE, true); 
 
     
 
     // remaining parser logic 
 
     
 
     ... 
 
     
 
     catch (ParserConfigurationException e) { 
 
     
 
     // This should catch a failed setFeature feature 
 
     
 
     logger.info("ParserConfigurationException was thrown. The feature '" + 
 
     
 
     FEATURE + 
 
     
 
     "' is probably not supported by your XML processor."); 
 
     
 
     ... 
 
     
 
     } 
 
     
 
     catch (SAXException e) { 
 
     
 
     // On Apache, this should be thrown when disallowing DOCTYPE 
 
     
 
     logger.warning("A DOCTYPE was passed into the XML document"); 
 
     
 
     ... 
 
     
 
     } 
 
     
 
     catch (IOException e) { 
 
     
 
     // XXE that points to a file that doesn't exist 
 
     
 
     logger.error("IOException occurred, XXE may still possible: " + e.getMessage());.. }