应用软件安全编程--06预防 XML 外部实体攻击

XML文档可以从一个很小的逻辑块(实体)开始动态构建。实体可以是内部的、外部的或者基于参数的。外部实体运行是将外部文件中的 XML 包含进来。攻击者可以通过操作实例的 URI, 使其指向特定的在当前文件系统中保存的文件，从而造成拒绝服务或程序崩溃，比如：指定/dev/random 或者/ dev/tty作为输入的 URI, 这可能造成永久阻塞程序或者程序崩溃。

对于预防XML外部实体攻击的情况，示例1给出了不规范用法(Java 语言)示例。示例2给出了 规范用法(Java 语言)示例。

示例1:
 
class    XXE    {
 
private static void receiveXMLStream(InputStreaminStream,
DefaultHandlerdefaultHandler)
 
throws ParserConfigurationException, SAXException, IOException {
 
SAXParserFactory factory = SAXParserFactory.newInstance();
 
SAXParsersaxParser = factory.newSAXParser();
 
saxParser.parse(inStream, defaultHandler);
 
 
 
 
 
public static void main(String[] args) throws ParserConfigurationException,
 
SAXException,IOException {
 
try {
 
receiveXMLStream(new FilelnputStream("evil.xml"),new DefaultHandler());
 
}catch(java.net.MalformedURLExceptionmue){
 
 
 
System.err.println("Malformed URL Exception:"+ mue);
 
 }
 
 }

上面的代码尝试对 evil.xml进行解析，并且报告相关错误后退出。然而，SAX 或者 DOM  解析器

会尝试访问在SYSTEM   属性中标识的 URL, 这意味着它将读取一个本地的/dev/try文件的内容。在

POSIX 系统中，读取这个文件会导致程序阻塞，直到可以通过计算机控制台得到输入数据为止。攻击 者可以使用这一类的恶意XML  文件来导致系统挂起。

如果 evil.xml文件中包含以下文本，程序会受到远程 XXE 攻击。

 
foo SYSTEM "file:/dev/tty">
 

使用 EntityResolver方案来防止 XML  外部实体注入。

示例2:
 
class CustomResolver implements EntityResolver {
 
public InputSourceresolveEntity(String publicld, String systemld)
 
throws SAXException, IOException {
 
 
 
// Check for known good entities
 
String  entityPath  ="file:/Users/onlinestore/good.xml";
 
if (systemld.equals(entityPath)){
 
System.out.println("Resolving    entity:"+    publicld+""+    systemld);
 
return new InputSource(entityPath);
 
} else {
 
// Disallow unknown entities by returning a blank path
 
return new InputSource();
 
 }
 
 }
 
 }

针对不规范的代码示例的解决方案是，定义一个 CustomResolver 类，这个类实现了org.xml.sax. EntityResolver接口。它可以让SAX 应用定制对外部实体的处理。这个定制的处理器使用的是一个 为外部实体定义的简单的白名单。当输入不是任何指定的、安全的实体源路径时，resolverEntity()方 法会返回一个空的 InputSource 对象。

setEntityResolver()方法可以将对应的 SAX 驱动实例注册进来。当解析恶意输入时，这个由自定义解析器返InputStream 对象会抛出 java.net.MalformedURLException 异常。需要注意的是，应创建一个XMLReader对象，以便通过这个对象来设置自定义的实体解析器。

class  XXE{
 
private static void receiveXMLStream(InputStreaminStream,DefaultHandlerdefaultHandler)
 
throws ParserConfigurationException, SAXException,IOException{
 
SAXParserFactory factory = SAXParserFactory.newInstance();
 
SAXParsersaxParser = factory.newSAXParser();
 
// To set the Entity Resolver,an XML reader needs to be created
 
XMLReader reader = saxParser.getXMLReader();
 
reader.setEntityResolver(new CustomResolver());
 
reader.setErrorHandler(defaultHandler);
 
InputSource is = new InputSource(inStream);
 
reader.parse(is);
 
 
 
public static void main(String[] args)throws ParserConfigurationException, SAXException, IOException{
 
receiveXMLStream(new FileInputStream("evil.xml"),
 
new  DefaultHandler());
 
 }
 
 }