>운영 및 유지보수 >안전 >XML 외부 엔터티 주입 취약점 분석 예

XML 외부 엔터티 주입 취약점 분석 예

王林
王林앞으로
2023-05-11 16:55:122250검색

1. XML 외부 엔터티 주입

XML 외부 엔터티 주입 취약점은 우리가 흔히 XXE 취약점이라고 부르는 것입니다. XML은 널리 사용되는 데이터 전송 형식이며 많은 응용 프로그램에는 XML 데이터를 처리하기 위한 코드가 포함되어 있습니다. 기본적으로 오래되었거나 잘못 구성된 많은 XML 프로세서는 외부 엔터티를 참조합니다.

공격자가 취약한 코드, 종속성 또는 통합을 통해 XML 문서에 악성 콘텐츠를 업로드하거나 추가할 수 있는 경우 결함이 있는 XML 프로세서를 공격할 수 있습니다. XXE 취약점의 발생은 개발 언어와 관련이 없습니다. xml 데이터가 애플리케이션에서 구문 분석되고 데이터가 사용자에 의해 제어되는 한 애플리케이션은 XXE 공격에 취약할 수 있습니다. 이 기사에서는 XXE 취약점의 원인과 해결 방법을 소개하기 위해 Java 프로그램을 예로 들어 설명합니다. XXE 취약점에 대한 자세한 내용은 CWE-611: XML 외부 엔터티 참조('XXE')의 부적절한 제한(http://cwe.mitre.org/data/definitions/611.html)을 참조하세요.

2. XML 외부 엔터티 주입

XXE 취약점은 데이터 추출, 원격 서버 요청 수행, 내부 시스템 검사, 서비스 거부 공격 및 기타 공격을 수행하는 데 사용될 수 있습니다. 비즈니스에 미치는 영향은 주로 영향을 받는 참조자 및 데이터 보호 요구 사항에 따라 달라집니다.

2018년 이후 총 92개의 관련 취약점 정보가 CVE에 공개되었습니다. 일부 CVE는 다음과 같습니다.

CVE-2018-8027 Apache Camel 2.20.0~2.20.3 및 2.21.0 Core에는 XSD 검증 프로세서에 XXE 취약점이 있습니다.
CVE-2018-13439 WeChat Payment Java SDK의 WXPayUtil 클래스에 XXE 취약점이 있습니다.
CVE-2018-1000548 버전 번호가 14.3 미만인 Umlet에는 파일 구문 분석에 XML 외부 엔터티 주입 취약점이 있으며, 이로 인해 기밀 데이터 유출, 서비스 거부 및 서버 측 요청 위조가 발생할 수 있습니다. . 이 공격은 특별히 제작된 UXF 파일을 통해 수행될 수 있습니다.
CVE-2018-1364
IBM Content Bavigator 2.0 및 3.0은 XML 데이터 처리 시 XML 외부 엔터티(XXE) 공격에 취약합니다. 원격 공격자는 이 취약점을 악용하여 중요한 정보를 노출하거나 메모리 리소스를 점유할 수 있습니다.

3. 샘플 코드

3.1 결함 코드

이 섹션에서는 샘플 코드 소스를 오픈소스 결제 Java SDK(https://pay.weixin.qq.com/wiki/doc/api/jsapi)로 사용합니다. .php ?chapter=11_1), 소스 파일 이름: WXPayUtil.java, 파일 경로: java-sdk-v3srcmainjavacomgithubwxpaysdk.

XML 외부 엔터티 주입 취약점 분석 예

위 코드에서 25행의 xmlToMap 형식 매개변수를 통해 데이터가 전달되는 것을 볼 수 있습니다. 데이터는 어떤 방식으로도 필터링되지 않으며 XML 프로세서는 보안 설정을 하지 않고 32행에서 데이터를 구문 분석합니다. . 실제 시나리오에서는 매개변수 strXML 也是受攻击者控制的,这样攻击者可能通过构造恶意的 strXML를 사용하여 XXE 공격을 수행합니다.

360 Code Guard를 사용하여 위의 샘플 코드를 탐지하면 파일의 32번째 줄에서 "위험한 XML 외부 엔터티 삽입" 결함을 탐지할 수 있습니다. 그림 1에 표시된 대로:

XML 외부 엔터티 주입 취약점 분석 예

그림 1 위험한 XML 외부 엔터티 삽입 감지

3.2 복구 코드

XML 외부 엔터티 주입 취약점 분석 예

XML 외부 엔터티 주입 취약점 분석 예

위 복구 코드의 28번째 줄은 xml 도구 클래스 WXPayXmlUtil이 사용됩니다. 보안 XML 프로세서를 생성합니다. WXPayXmlUtil 클래스에서 가장 중요한 것은 라인 16으로, 생성된 xml 프로세서에서 setFeature를 사용하여 DTDS를 완전히 비활성화합니다. 그림 2에서 볼 수 있듯이 360 Code Guard는 복구된 코드에서 결함을 감지하지 못했습니다.

XML 외부 엔터티 주입 취약점 분석 예


그림 2 XXE 취약점 복구 예시

IV. XXE 취약점을 방지하는 방법

일반적인 방지 방법:

1 가능한 한 간단한 데이터 형식을 사용하세요. 민감한 데이터는 직렬화됩니다.

2. 애플리케이션이나 기본 운영 체제에서 사용되는 모든 XML 프로세서 및 라이브러리를 적시에 수정하거나 업데이트합니다. 동시에 종속성 검색을 통해 SOAP를 버전 1.2 이상으로 업데이트합니다.

3. 애플리케이션의 모든 XML 파서에서 XML 외부 엔터티 및 DTD 프로세스를 비활성화합니다. 자세한 내용은 "OWASP 치트 시트 'XXE 방지'를 참조하세요. 》(https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet)

다음 코드는 DocumentBuilderFactory를 사용하여 Java 애플리케이션에서 xml을 구문 분석할 때 XXE 취약점을 방지하는 예입니다.

XML 외부 엔터티 주입 취약점 분석 예

4. 입력 유효성 검사: 입력 유효성 검사 및 필터링을 위해 서버 측의 화이트리스트를 사용하여 악성 데이터가 XML 문서, 헤더 또는 노드에 나타나는 것을 방지합니다.

5. 종속성 및 보안 구성을 감지하여 XML을 확인하고 XXE 취약점을 발견합니다.

위 내용은 XML 외부 엔터티 주입 취약점 분석 예의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제