> For the complete documentation index, see [llms.txt](https://notes.kraken-security.ru/kraken/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://notes.kraken-security.ru/kraken/secure-coding/server-side/xml-external-entity-injection-xxe.md).
# XML External Entity Injection \[XXE]
## 1. Введение:
Эта атака происходит, когда недоверенный XML-ввод, содержащий ссылку на внешнюю сущность, обрабатывается слабо настроенным XML-парсером.
Она может привести к раскрытию конфиденциальных данных, отказу в обслуживании, подделке запросов на стороне сервера (SSRF), сканированию портов с точки зрения машины, на которой расположен парсер, и другим последствиям для системы.
## 2. Типичный уязвимый код:
{% tabs %}
{% tab title="JavaScript" %}
```javascript
var parserOptions = {
noblanks: true,
noent: true,
nocdata: true
};
try {
var doc = libxml.parseXmlString(data, parserOptions);
} catch (e) {
return Promise.reject('XML parse error');
}
```
{% endtab %}
{% tab title="Python" %}
```python
from django.http import HttpResponse
from lxml import etree
def authenticate(content):
parser = etree.XMLParser(resolve_entities=True)
try:
document = etree.fromstring(content, parser)
except etree.XMLSyntaxError:
return None
```
{% endtab %}
{% tab title="PHP" %}
```ruby
class Loader
{
/**
* @param string $path
* @return DOMDocument
*/
public function load($path)
{
$dom = new DOMDocument();
$dom->loadXML(file_get_contents($path));
return $dom;
}
}
```
{% endtab %}
{% endtabs %}
Атака XXE работает, используя возможности XML, а именно XML eXternal Entities (XXE), которые позволяют загружать внешние XML-ресурсы в XML-документ.
Передав XML-файл, определяющий внешнюю сущность, с URI file://, злоумышленник может эффективно обмануть парсер SAX (Simple API parser for XML) приложения и заставить его прочитать содержимое произвольного файла (файлов), находящегося в файловой системе сервера.
Наконец, мы используем XML-декларацию ENTITY для загрузки дополнительных данных с внешнего ресурса. Синтаксис объявления ENTITY таков: ENTITY name SYSTEM URI, где URI - это полный путь к удаленному URL или локальному файлу. В нашем примере мы определяем тег ENTITY для загрузки содержимого файла "file:///etc/passwd".
Это пример того, как может выглядеть XML-файл "полезной нагрузки".
```xml
]>
Apple Inc
AAPL
&bar;
B.Bobi
1500
130
Google
GOOGL
B.Bobi
1500
130
```
Когда этот XML-документ обрабатывается уязвимым парсером, таким как представленный выше, все экземпляры \&bar; будут заменены содержимым файла /etc/passwd.
Проще говоря, XML-парсер был обманут, чтобы получить доступ к ресурсу, который разработчики приложения не планировали делать доступным, в данном случае к файлу в локальной файловой системе удаленного сервера. Благодаря этой уязвимости можно было получить любой файл на удаленном сервере (точнее, любой файл, к которому веб-сервер имеет доступ на чтение).
К сожалению, парсер SAX не был настроен на запрет загрузки внешних сущностей (деклараций DOCTYPE), которые, будучи указанными в нашем модифицированном файле payload.xml, могут быть использованы злоумышленником для чтения произвольных системных файлов на удаленном сервере.
{% hint style="info" %}
Поскольку пользовательский XML-ввод поступает из "недоверенного источника" (а именно, от клиента), очень трудно должным образом проверить XML-документ, чтобы предотвратить этот тип атаки.
{% endhint %}
## 3. Смягчение последствий:
### 2.1. Отключение встроенного DTD:
Поскольку мы знаем, что парсер технически не должен позволять загружать внешние сущности (любой вид объявления DOCTYPE), мы можем настроить XML-парсер на использование только локально определенного определения типа документа (DTD) и запретить любые встроенные DTD, указанные в пользовательском XML-документе (документах).
Из-за того, что существует множество движков для разбора XML, каждый из них имеет свой собственный механизм отключения встроенных DTD для предотвращения XXE. Возможно, вам придется поискать в документации к вашему XML-парсеру, как именно "отключить inline DTD".
Вот несколько примеров того, как можно отключить парсинг встроенного DTD.
{% tabs %}
{% tab title="JavaScript" %}
```javascript
var parserOptions = {
noblanks: true,
noent: false, // doesn't allow DOCTYPE declarations
nocdata: true
};
try {
var doc = libxml.parseXmlString(data, parserOptions);
} catch (e) {
return Promise.reject('XML parse error');
}
```
{% endtab %}
{% tab title="Python" %}
```python
from django.http import HttpResponse
from lxml import etree
def authenticate(content):
parser = etree.XMLParser(resolve_entities=False)
# False -> doesn't allow DOCTYPE declarations
try:
document = etree.fromstring(content, parser)
except etree.XMLSyntaxError:
return None
```
{% endtab %}
{% tab title="PHP" %}
```ruby
class Loader
{
/**
* @param string $path
* @return DOMDocument
*/
public function load($path)
{
$old = libxml_disable_entity_loader(true);
// disable entity loader -> does not alow DOCTYPE declarations
$dom = new DOMDocument();
$dom->loadXML(file_get_contents($path));
libxml_disable_entity_loader($old);
return $dom;
}
}
```
{% endtab %}
{% endtabs %}
### 2.2. Следуйте принципу наименьших привилегий:
Угроза XXE-атак полностью иллюстрирует важность соблюдения принципа наименьших привилегий, который гласит, что программным компонентам и процессам должен быть предоставлен минимальный набор разрешений, необходимых для выполнения их задач.
Поскольку у парсера XML редко бывают веские причины для выполнения исходящих сетевых запросов, рассмотрите возможность блокировки исходящих сетевых запросов для вашего веб-сервера в целом. Если вам все же необходим исходящий сетевой доступ: например, если код вашего сервера обращается к API сторонних разработчиков, - вам следует внести домены этих API в белый список правил брандмауэра.
## 3. Выводы:
Общеизвестно, что DTD - это устаревшая технология, поэтому разрешение на использование встроенных DTD - это ВСЕГДА НЕПРАВИЛЬНАЯ ИДЕЯ! Современные парсеры XML по умолчанию защищены от атак, и поэтому использование таких фреймворков или парсеров означает, что вы уже защищены от атак.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://notes.kraken-security.ru/kraken/secure-coding/server-side/xml-external-entity-injection-xxe.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.