XmlDocument-XXE 攻击既可恶,也没那么危言耸听。

作者:vkvi 来源:ITPOW(原创) 日期:2018-8-25

XXE

XML External Entity attack

漏洞原理

XML 中可以引用外部资源,比如:Entities、DTDs、Schemas,这些都可以作为另外一个文件,引入到 XML 中,这就像 HTML 中引用 CSS 文件一样。

这个外部资源既可以是本地的、也可以是网络的。 

这就可能带来一个风险,比如 A 向 B 传输数据,是 XML 格式的:

  • A 故意放置一个 file://D:/itpow.txt 的 Entity 在 XML 中。
  • B 收到后,XmlDocument 就会去解析它,就会把 D:\itpow.txt 读取出来。
  • A 还可以构造更复杂的 XML,利用变量,将 D:\itpow.txt 中的内容放置在某个 URL 的结尾,XmlDocument 去解析这个 URL 的时候,顺道把 D:\itpow.txt 的内容也带出去了,这就是安全隐患了。B 本地的内容都被 A 偷走了。

除此之外,A 还可以构造更多特殊格式,使 B 那里解析 XML 变成执行本地文件、遭受 DDoS 攻击等内容。

确实挺可怕的,我们简单试一下呢,我们只是看看,它有没有读取 D:\itpow.txt 的内容。

发现根本没有显示  itpow.txt 的内容嘛,然后我们再试试下面这个:

测试时,要看到效果得用 InnerText 属性,不要用 Value 属性,当然用哪个属性不影响是否被攻击,只是决定了你看不看得到内容。

作为攻击者,前面 encoding="UTF-8",最好去掉,因为如果 D:\itpow.txt 不是 UTF-8 格式,就会出现解析失败。

扯远了,我们发现:D:\itpow.txt 的内容被显示出来了。

回头看看,是哪里使攻击实现了呢?原来是 XmlResolver,为它赋值后,这玩意就去解析其中的外部资源了,如果你不信你可以测试一下,将外部资源指向一个不存在的地址,当没有指定 XmlResolver 时不会报错,当指定了 XmlResolver 时就会报错。

也就是说 .NET 默认是不支持外部资源的,同样现在的浏览器解析 XML 时,默认也是不支持外部资源的。

也就是说攻击者要成功,必须是被攻击者为 XmlResolver 指定了解析器,而我相信 99.9999% 的开发者是没有主动为这个赋值的。

有人说,我 NTFS 权限设置得好,网站的权限仅限本文件夹,访问不到 D:\itpow.txt,即使设置了 XmlResolver 也不怕,其实不能这么说,对,的确访问不了 D:\itpow.txt,但是,本网站目录的源代码总会被访问到吧?还有攻击者可能并不只是读文件攻击这么简单。

所以还是老老实实的不要为 XmlResolver 赋值吧。微信支付建议为 XmlResolver 赋值为 null,其实没多大必要,因为它初始就是 null 的。

有人会说,但是我确实需要解析外部资源,怎么办呢?

这时首先要确认受信任的外部资源地址。

然后自定义一个类,继承自 XmlUrlResolver,重载函数:public override Uri ResolveUri(Uri baseUri, string relativeUri):受信任时,就调用基类解析之;当地址不受信任时,就返回 null。代码如下:

相关阅读

相关文章