XML注入攻击

一、漏洞描述

XML文件的解析依赖libxml库，而libxml2.9以前的版本默认支持并开启了外部实体的引用，服务端解析用户提交的xml文件时未对xml文件引用的外部实体（含外部普通实体和外部参数实体）做合适的处理，并且实体的URL支持file://和php://等协议，攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。

图片素材来自网络

二、形成原因

解析xml文件时允许加载外部实体，没有过滤用户提交的参数 。

三、危害性

可以导致信息泄露、任意文件读取、DOS攻击和代码执行等问题。

四、攻击案例

1. 某服务器端的xml文件内容如下，用户可以获取XML解析后的结果：

]>

Here is the file content: &file;

服务端解析XML文件的时候请求实体file指定的URI（这里为file:///etc/passwd），并用请求结果替换file实体的引用锚，导致文件读取。

2. 某服务器端的xml文件内容如下 ：

Attacker Text

此时如果攻击者输入的Attacker Text的内容为 ：User1

role="admin">User2 ，那么将会产生如下xml ：

User1

User2

一旦应用程序读取了这个文件，并且给每个用户分配访问权限时，User2便获得了管理员权限。

五、防御方法

1. 常见的XML解析方法有：DOMDocument、SimpleXML、XMLReader，这三者都基于 libxml 库解析XML，所以均受影响；xml_parse 函数则基于 expact 解析器，默认不载入外部 DTD，则不受影响。可以在php解析xml文件之前使用libxml_disable_entity_loader(true)来禁止加载外部实体（该方法对上述三种 XML解析组件都有效），并使用libxml_use_internal_errors()禁止报错。

2. 对用户的输入做过滤，如<、>、'、"、&等。