应用软件安全编程--06预防 XML 外部实体攻击

XML文档可以从一个很小的逻辑块(实体)开始动态构建。实体可以是内部的、外部的或者基于参数的。外部实体运行是将外部文件中的 XML 包含进来。攻击者可以通过操作实例的 URI, 使其指向特定的在当前文件系统中保存的文件，从而造成拒绝服务或程序崩溃，比如：指定/dev/random 或者/ dev/tty作为输入的 URI, 这可能造成永久阻塞程序或者程序崩溃。

对于预防XML外部实体攻击的情况，示例1给出了不规范用法(Java 语言)示例。示例2给出了 规范用法(Java 语言)示例。

示例1:

class    XXE    {

private static void receiveXMLStream(InputStreaminStream,

DefaultHandlerdefaultHandler)

throws ParserConfigurationException, SAXException, IOException {

SAXParserFactory factory = SAXParserFactory.newInstance();

SAXParsersaxParser = factory.newSAXParser();

saxParser.parse(inStream, defaultHandler);

 

 

public static void main(String[] args) throws ParserConfigurationException,

SAXException,IOException {

try {

receiveXMLStream(new FilelnputStream("evil.xml"),new DefaultHandler());

}catch(java.net.MalformedURLExceptionmue){

 

System.err.println("Malformed URL Exception:"+ mue);

 }

 }

上面的代码尝试对 evil.xml进行解析，并且报告相关错误后退出。然而，SAX 或者 DOM  解析器

会尝试访问在SYSTEM   属性中标识的 URL, 这意味着它将读取一个本地的/dev/try文件的内容。在

POSIX 系统中，读取这个文件会导致程序阻塞，直到可以通过计算机控制台得到输入数据为止。攻击 者可以使用这一类的恶意XML  文件来导致系统挂起。

如果 evil.xml文件中包含以下文本，程序会受到远程 XXE 攻击。

使用 EntityResolver方案来防止 XML  外部实体注入。

示例2:

class CustomResolver implements EntityResolver {

public InputSourceresolveEntity(String publicld, String systemld)

throws SAXException, IOException {

 

// Check for known good entities

String  entityPath  ="file:/Users/onlinestore/good.xml";

if (systemld.equals(entityPath)){

System.out.println("Resolving    entity:"+    publicld+""+    systemld);

return new InputSource(entityPath);

} else {

// Disallow unknown entities by returning a blank path

return new InputSource();

 }

 }

 }

针对不规范的代码示例的解决方案是，定义一个 CustomResolver 类，这个类实现了org.xml.sax. EntityResolver接口。它可以让SAX 应用定制对外部实体的处理。这个定制的处理器使用的是一个 为外部实体定义的简单的白名单。当输入不是任何指定的、安全的实体源路径时，resolverEntity()方 法会返回一个空的 InputSource 对象。

setEntityResolver()方法可以将对应的 SAX 驱动实例注册进来。当解析恶意输入时，这个由自定义解析器返InputStream 对象会抛出 java.net.MalformedURLException 异常。需要注意的是，应创建一个XMLReader对象，以便通过这个对象来设置自定义的实体解析器。

class  XXE{

private static void receiveXMLStream(InputStreaminStream,DefaultHandlerdefaultHandler)

throws ParserConfigurationException, SAXException,IOException{

SAXParserFactory factory = SAXParserFactory.newInstance();

SAXParsersaxParser = factory.newSAXParser();

// To set the Entity Resolver,an XML reader needs to be created

XMLReader reader = saxParser.getXMLReader();

reader.setEntityResolver(new CustomResolver());

reader.setErrorHandler(defaultHandler);

InputSource is = new InputSource(inStream);

reader.parse(is);

 

public static void main(String[] args)throws ParserConfigurationException, SAXException, IOException{

receiveXMLStream(new FileInputStream("evil.xml"),

new  DefaultHandler());

 }

 }