Entry № 1397
XXE 攻击
XXE 攻击 是什么?
XXE 攻击针对 XML 解析器的攻击,通过滥用外部实体解析读取文件、探测内部网络或造成拒绝服务。
XML 外部实体(XXE)攻击针对默认会解析 DTD 中声明的外部实体的 XML 解析器。攻击者提交带有引用 file:// 或 http:// URI 的 DOCTYPE 的文档,可强制解析器读取本地文件(如 /etc/passwd)、对内部服务发起 SSRF,或通过 billion laughs 式的实体展开耗尽资源。当响应不回显时,盲 XXE 通过 DNS 或带外 HTTP 请求外泄数据。防御措施是为每个解析器禁用 DTD 与外部实体处理、优先使用 JSON 或具有安全默认配置的 XML 库,以及用严格的模式校验所有上传的 XML。
● 示例
- 01
包含 <!ENTITY xxe SYSTEM "file:///etc/passwd"> 的 XML 文档通过反射响应外泄密码文件。
- 02
盲 XXE 载荷触发到攻击者服务器的 DNS 查询,以验证对内部主机的可达性。
● 常见问题
XXE 攻击 是什么?
针对 XML 解析器的攻击,通过滥用外部实体解析读取文件、探测内部网络或造成拒绝服务。 它属于网络安全的 攻击与威胁 分类。
XXE 攻击 是什么意思?
针对 XML 解析器的攻击,通过滥用外部实体解析读取文件、探测内部网络或造成拒绝服务。
如何防御 XXE 攻击?
针对 XXE 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
XXE 攻击 还有哪些其他名称?
常见的别称包括: XML 外部实体攻击。