XXE 攻击既可恶,也没那么危言耸听。

栏目: 编程语言 · XML · 发布时间: 6年前

内容简介:XML External Entity attack

XXE

XML External Entity attack

漏洞原理

XML 中可以引用外部资源,比如:Entities、DTDs、Schemas,这些都可以作为另外一个文件,引入到 XML 中,这就像 HTML 中引用 CSS 文件一样。

这个外部资源既可以是本地的、也可以是网络的。

这就可能带来一个风险,比如 A 向 B 传输数据,是 XML 格式的:

  • A 故意放置一个 file://D:/itpow.txt 的 Entity 在 XML 中。
  • B 收到后,XmlDocument 就会去解析它,就会把 D:\itpow.txt 读取出来。
  • A 还可以构造更复杂的 XML,利用变量,将 D:\itpow.txt 中的内容放置在某个 URL 的结尾,XmlDocument 去解析这个 URL 的时候,顺道把 D:\itpow.txt 的内容也带出去了,这就是安全隐患了。B 本地的内容都被 A 偷走了。

除此之外,A 还可以构造更多特殊格式,使 B 那里解析 XML 变成执行本地文件、遭受 DDoS 攻击等内容。

确实挺可怕的,我们简单试一下呢,我们只是看看,它有没有读取 D:\itpow.txt 的内容。

XmlDocument xmlDocument = new XmlDocument();
xmlDocument.LoadXml(@"<?xml version=""1.0"" encoding=""UTF-8""?>
<!DOCTYPE cftea [<!ENTITY passwd SYSTEM ""file://D:/itpow.txt"">]>
<cftea>&passwd;</cftea>");

XmlNodeList xmlNodeList = xmlDocument.GetElementsByTagName("cftea");
foreach (XmlNode item in xmlNodeList)
{
	MessageBox.Show(item.InnerText);
}

发现根本没有显示  itpow.txt 的内容嘛,然后我们再试试下面这个:

XmlUrlResolver myResolver = new XmlUrlResolver();
myResolver.Credentials = CredentialCache.DefaultCredentials;

XmlDocument xmlDocument = new XmlDocument();
xmlDocument.XmlResolver = myResolver;
xmlDocument.LoadXml(@"<?xml version=""1.0"" encoding=""UTF-8""?>
<!DOCTYPE cftea [<!ENTITY passwd SYSTEM ""file://D:/itpow.txt"">]>
<cftea>&passwd;</cftea>");

XmlNodeList xmlNodeList = xmlDocument.GetElementsByTagName("cftea");
foreach (XmlNode item in xmlNodeList)
{
	MessageBox.Show(item.InnerText);
}

测试时,要看到效果得用 InnerText 属性,不要用 Value 属性,当然用哪个属性不影响是否被攻击,只是决定了你看不看得到内容。

作为攻击者,前面 encoding="UTF-8",最好去掉,因为如果 D:\itpow.txt 不是 UTF-8 格式,就会出现解析失败。

扯远了,我们发现:D:\itpow.txt 的内容被显示出来了。

回头看看,是哪里使攻击实现了呢?原来是 XmlResolver,为它赋值后,这玩意就去解析其中的外部资源了,如果你不信你可以测试一下,将外部资源指向一个不存在的地址,当没有指定 XmlResolver 时不会报错,当指定了 XmlResolver 时就会报错。

也就是说 .NET 默认是不支持外部资源的,同样现在的浏览器解析 XML 时,默认也是不支持外部资源的。

也就是说攻击者要成功,必须是被攻击者为 XmlResolver 指定了解析器,而我相信 99.9999% 的开发者是没有主动为这个赋值的。

有人说,我 NTFS 权限设置得好,网站的权限仅限本文件夹,访问不到 D:\itpow.txt,即使设置了 XmlResolver 也不怕,其实不能这么说,对,的确访问不了 D:\itpow.txt,但是,本网站目录的源代码总会被访问到吧?还有攻击者可能并不只是读文件攻击这么简单。

所以还是老老实实的不要为 XmlResolver 赋值吧。微信支付建议为 XmlResolver 赋值为 null,其实没多大必要,因为它初始就是 null 的。

有人会说,但是我确实需要解析外部资源,怎么办呢?

这时首先要确认受信任的外部资源地址。

然后自定义一个类,继承自 XmlUrlResolver,重载函数:public override Uri ResolveUri(Uri baseUri, string relativeUri):受信任时,就调用基类解析之; 当地址不受信任时,就返回 null。 代码如下:

public class MyUrlResovler : XmlUrlResolver
{
	public override Uri ResolveUri(Uri baseUri, string relativeUri)
	{
		Uri uri = new Uri(baseUri, relativeUri);
		if (uri.Host == "xxx")
		{
			return base.ResolveUri(baseUri, relativeUri);
		}
		else
		{
			return null;
		}
	}
}

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人月神话

人月神话

[美] 弗雷德里克·布鲁克斯 / 汪颖 / 清华大学出版社 / 2002-11 / 29.80元

作者为人们管理复杂项目提供了颇具洞察力的见解,既有很多发人深省的观点,也有大量的软件工程实践。书中的内容来自布鲁克斯在IBM公司System 360家族和OS 360中的项目管理经验。初版的20年后,布鲁克斯重新审视了他原先的观点,增加了一些新的想法和建议。新增加的章节包括:原著中一些核心观点的精华;在经过了一个时代以后,Brooks博士对原先观点新的认识;1986年的经典文章《没有银弹》;对19......一起来看看 《人月神话》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试