Web服务XML外部实体注入专项报告.docVIP

Web服务XML外部实体注入专项报告

一、XML外部实体注入（XXE）漏洞概述

XML（可扩展标记语言）作为一种通用的数据交换格式，在Web服务中被广泛用于数据传输、配置文件存储等场景。XML外部实体注入（XMLExternalEntityInjection，简称XXE）是一种针对解析XML输入的应用程序的攻击手段，攻击者通过在XML文档中定义外部实体，迫使XML解析器访问攻击者指定的资源，从而实现信息泄露、服务器端请求伪造（SSRF）、拒绝服务（DoS）等恶意目的。

从技术原理来看，XML允许在文档类型定义（DTD）中定义实体，这些实体可以是内部实体或外部实体。内部实体是在DTD内部定义的，而外部实体则引用外部资源。当XML解析器在解析包含外部实体的XML文档时，如果没有对外部实体的引用进行适当的限制，就会导致XXE漏洞的产生。例如，攻击者可以构造如下XML文档：

?xmlversion=1.0encoding=UTF-8?!DOCTYPEroot[!ENTITYxxeSYSTEMfile:///etc/passwd]rootxxe;/root

在这个例子中，攻击者定义了一个名为xxe的外部实体，引用了本地文件/etc/passwd。如果XML解析器没有对外部实体进行限制，就会读取该文件的内容，并将其插入到XML文档中，从而导致敏感信息泄露。

XXE漏洞的危害