淺談XXE攻擊
一、介紹
現在越來越多主要的web程序被發現和報告存在XXE(XML External Entity attack)漏洞,比如說facebook、paypal等等。 舉個例子,我們掃一眼這些網站最近獎勵的漏洞,充分證實了前面的說法。盡管XXE漏洞已經存在了很多年,但是它從來沒有獲得它應得的關注度。很多XML的解析器默認是含有XXE漏洞的,這意味著開發人員有責任確保這些程序不受此漏洞的影響。
本文主要討論什么是XML外部實體,這些外部實體是如何被攻擊的。
二、什么是XML外部實體?
如果你了解XML,你可以把XML理解為一個用來定義數據的東東。因此,兩個采用不同技術的系統可以通過XML進行通信和交換數據。 比如,下圖就是一個用來描述一個職工的XML文檔樣本,其中的’name’,'salary’,'address’ 被稱為XML的元素。
有些XML文檔包含system標識符定義的“實體”,這些XML文檔會在DOCTYPE頭部標簽中呈現。這些定義的’實體’能夠訪問本地或者遠程的內容。比如,下面的XML文檔樣例就包含了XML ‘實體’。
在上面的代碼中, XML外部實體 ‘entityex’ 被賦予的值為:file://etc/passwd。在解析XML文檔的過程中,實體’entityex’的值會被替換為URI(file://etc/passwd)內容值(也就是passwd文件的內容)。 關鍵字’SYSTEM’會告訴XML解析器,’entityex’實體的值將從其后的URI中讀取。因此,XML實體被使用的次數越多,越有幫助。
三、什么是XML外部實體攻擊?
有了XML實體,關鍵字’SYSTEM’會令XML解析器從URI中讀取內容,并允許它在XML文檔中被替換。因此,攻擊者可以通過實體將他自定義的值發送給應用程序,然后讓應用程序去呈現。 簡單來說,攻擊者強制XML解析器去訪問攻擊者指定的資源內容(可能是系統上本地文件亦或是遠程系統上的文件)。比如,下面的代碼將獲取系統上folder/file的內容并呈獻給用戶。
四、怎么甄別一個XML實體攻擊漏洞?
最直接的回答就是: 甄別那些接受XML作為輸入內容的端點。 但是有時候,這些端點可能并不是那么明顯(比如,一些僅使用JSON去訪問服務的客戶端)。在這種情況下,滲透測試人員就必須嘗試不同的測試方式,比如修改HTTP的請求方法,修改Content-Type頭部字段等等方法,然后看看應用程序的響應,看看程序是否解析了發送的內容,如果解析了,那么則可能有XXE攻擊漏洞。
五、如何確認XXE漏洞?
出于演示的目的,我們將用到一個Acunetix維護的demo站點,這個站點就是: http://testhtml5.vulnweb.com/。這個站點可用于測試Acunetix web掃描器的功能。 訪問 http://testhtml5.vulnweb.com/ 站點,點擊 ‘Login’下面的 ‘Forgot Password’ 鏈接。注意觀察應用程序怎樣使用XML傳輸數據,過程如下圖所示:
請求:
響應:
觀察上面的請求與響應,我們可以看到,應用程序正在解析XML內容,接受特定的輸入,然后將其呈現給用戶。為了測試驗證XML解析器確實正在解析和執行我們自定義的XML內容,我們發送如下的請求
修改后的請求和響應:
如上圖所示,我們在上面的請求中定義了一個名為myentity、值為’testing’的實體。 響應報文清晰地展示了解析器已經解析了我們發送的XML實體,然后并將實體內容呈現出來了。 由此,我們可以確認,這個應用程序存在XXE漏洞。
六、如何進行XXE攻擊?
- Code 1:
- 1. To read files on same server:
- <?xml version="1.0" encoding="ISO-8859-1"?>
- <!DOCTYPE foo [
- <!ENTITY myentity SYSTEM "file:///location/anyfile" >]>
- <abc>&myentity;</abc>
- 2. To crash the server / Cause denial of service:
- <?xml version="1.0"?>
- <!DOCTYPE lolz [
- <!ENTITY lol "lol">
- <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
- <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
- <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
- <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
- <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
- <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
- <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
- <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
- ]>
- <lolz>&lol9;</lolz>
上面樣例代碼1中的XXE漏洞攻擊就是著名的’billion laughs’(https://en.wikipedia.org/wiki/Billion_laughs)攻擊,該攻擊通過創建一項遞歸的 XML 定義,在內存中生成十億個”Ha!”字符串,從而導致 DDoS 攻擊。原理為:構造惡意的XML實體文件耗盡可用內存,因為許多XML解析器在解析XML文檔時傾向于將它的整個結構保留在內存中,解析非常慢,造成了拒絕服務器攻擊。除了這些,攻擊者還可以讀取服務器上的敏感數據,還能通過端口掃描,獲取后端系統的開放端口。
影響:
此漏洞非常危險, 因為此漏洞會造成服務器上敏感數據的泄露,和潛在的服務器拒絕服務攻擊。
補救措施:
上面討論的主要問題就是XML解析器解析了用戶發送的不可信數據。然而,要去校驗DTD(document type definition)中SYSTEM標識符定義的數據,并不容易,也不大可能。大部分的XML解析器默認對于XXE攻擊是脆弱的。因此,最好的解決辦法就是配置XML處理器去使用本地靜態的DTD,不允許XML中含有任何自己聲明的DTD。
比如下面的Java代碼,通過設置相應的屬性值為false,XML外部實體攻擊就能夠被阻止。因此,可將外部實體、參數實體和內聯DTD 都被設置為false,從而避免基于XXE漏洞的攻擊。
以下是代碼的第二段
- import javax.xml.parsers.DocumentBuilderFactory;
- import javax.xml.parsers.ParserConfigurationException; // catching unsupported features
- ...
- DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
- try {
- // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-general-entities
- // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-general-entities
- String FEATURE = "http://xml.org/sax/features/external-general-entities";
- dbf.setFeature(FEATURE, false);
- // Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-parameter-entities
- // Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities
- FEATURE = "http://xml.org/sax/features/external-parameter-entities";
- dbf.setFeature(FEATURE, false);
- // Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl
- FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
- dbf.setFeature(FEATURE, true);
- // remaining parser logic
- ...
- catch (ParserConfigurationException e) {
- // This should catch a failed setFeature feature
- logger.info("ParserConfigurationException was thrown. The feature '" +
- FEATURE +
- "' is probably not supported by your XML processor.");
- ...
- }
- catch (SAXException e) {
- // On Apache, this should be thrown when disallowing DOCTYPE
- logger.warning("A DOCTYPE was passed into the XML document");
- ...
- }
- catch (IOException e) {
- // XXE that points to a file that doesn't exist
- logger.error("IOException occurred, XXE may still possible: " + e.getMessage());.. }
