XML实体扩展攻击

栏目: 编程语言 · XML · 发布时间: 5年前

内容简介:这里我们主要对我们可以根据DTD定义的结构生成XML文档,但是却没有正确的对递归的实体数量进行控制。如果在DTD中包含了大量嵌套或递归的实体,这将在解析时导致数据的急剧增长,从而触发拒绝服务。下面我们通过1个简单的POC例子来进行说明。

这里我们主要对 CWE-776 进行介绍。

漏洞说明

我们可以根据DTD定义的结构生成XML文档,但是却没有正确的对递归的实体数量进行控制。如果在DTD中包含了大量嵌套或递归的实体,这将在解析时导致数据的急剧增长,从而触发拒绝服务。

下面我们通过1个简单的POC例子来进行说明。

POC过程

假设我们有这样1个DTD的文档定义,我们可以将其看成是1个XML的蠕虫:

<?xml version="1.0" encoding="utf-8"?>  
<!DOCTYPE nodes [  
   <!ENTITY ZERO "A">  
   <!ENTITY ONE "&ZERO;&ZERO;">  
   <!ENTITY TWO "&ONE;&ONE;">  
   <!ENTITY THREE "&TWO;&TWO;">  
   <!ENTITY FOUR "&THREE;&THREE;">  
]>  
<data>&FOUR;</data>

上述是1个DTD的定义,如果对XXE有所了解的话,就可以直接看出其端倪。

其中,我们使用ENTITY表示1个实体,其类似编程语言中的变量,例如:

<!ENTITY ZERO "A">

我们可以将其看成定义了1个变量ZERO,其内容为字符A。而调用的方式为"&实体名称;“,在这里为 &ZERO;

最常见的就是HTML代码中的尖括号 < ,其可以表示为 &lt;

在实体ZERO中包含1个字符A,其中实体名称ZERO用于表示长度的选择,其等价于2的0次幂,换句话说ZERO的长度为$2

0=1$。类似地,实体ONE引用了2次实体ZERO,因此XML解析器会将实体ONE展开为长度2,或者$2

1$。最终我们以实体FOUR进行结束,它将展开为$2

4=16$个字符长度。

下面我们使用 PHP 的libxml2库进行解析:

<?php  
$xml = <<<DOC  
<?xml version="1.0" encoding="utf-8"?>  
<!DOCTYPE nodes [  
   <!ENTITY ZERO "A">  
   <!ENTITY ONE "&ZERO;&ZERO;">  
   <!ENTITY TWO "&ONE;&ONE;">  
   <!ENTITY THREE "&TWO;&TWO;">  
   <!ENTITY FOUR "&THREE;&THREE;">  
]>  
<data>&FOUR;</data>  
DOC;  
$value = simplexml_load_string($xml);  
var_dump($value);  
?>

结果发现PHP程序卡死了。

如果编写到实体THIRTYTWO,那么其将展开为$2

32$个字符长度。而在计算机系统中,1个字符在ASCII编码中等于1个字节,而1个字节的大小为1B,那么实体THIRYTWO将占用4GB的存储空间,换句话说就是要使用到4GB的内存。

2 ** 32 / (1024 * 1024 * 1024) = 4

可以看到,如果XML解析对其进行解析,那么递归的实体引用将允许攻击者以指数的方式展开数据,从而快速消耗所有系统的资源,引起DoS问题。

我们可以根据需要生成更多的数据,这里就不展开说明了。

漏洞解决方案

为了防止由于该漏洞引发的问题,我们可以进行如下的处理:

  • 在解析相关DTD的XML文档之前,对递归实体声明进行扫描,并对潜在危险的内容不执行。
  • 在解析过程中,可以使用XML解析器限制DTD实体的递归展开。

对于PHP语言,我们可以使用 libxml_disable_entity_loader 函数禁用实体的加载:

libxml_disable_entity_loader(true);

由于在PHP中并没有提供对应的检查机制,因此我们可以手动进行检查:

$dom = new DOMDocument;  
$dom->loadXML($xml);  
foreach ($dom->childNodes as $child) {  
    if ($child->nodeType === XML_DOCUMENT_TYPE_NODE) {  
        throw new \InvalidArgumentException(  
            'Invalid XML: Detected use of illegal DOCTYPE'  
        );  
    }  
}

另外在使用SimpleXML时,需要使用 simplexml_import_dom 函数对导入的DOMDocument对象进行检查。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

深入浅出Node.js

深入浅出Node.js

朴灵 / 人民邮电出版社 / 2013-12-1 / CNY 69.00

本书从不同的视角介绍了 Node 内在的特点和结构。由首章Node 介绍为索引,涉及Node 的各个方面,主要内容包含模块机制的揭示、异步I/O 实现原理的展现、异步编程的探讨、内存控制的介绍、二进制数据Buffer 的细节、Node 中的网络编程基础、Node 中的Web 开发、进程间的消息传递、Node 测试以及通过Node 构建产品需要的注意事项。最后的附录介绍了Node 的安装、调试、编码......一起来看看 《深入浅出Node.js》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

html转js在线工具
html转js在线工具

html转js在线工具