XXE攻擊攻擊原理是什麼？如何防禦XXE攻擊？

　　XXE全稱XML External Entity，是指XML外部實體攻擊漏洞。那麼什麼是XXE攻擊?XXE攻擊原理是什麼?如何防禦XXE攻擊?本文為大家詳細講解一下。

　　什麼是XXE攻擊?

　　XXE攻擊是指xml外部實體攻擊漏洞。XML外部實體攻擊是針對解析XML輸入的應用程式的一種攻擊。當包含對外部實體的引用的XML輸入被弱配置XML解析器處理時，就會發生這種攻擊。這種攻擊透過構造惡意內容，可導致讀取任意檔案、執行系統命令、探測內網埠、攻擊內網網站等危害。

　　XXE攻擊原理?

　　攻擊者透過向伺服器注入指定的XML實體內容，從而讓伺服器按照指定的配置進行執行，導致問題。也就是說服務端接收和解析了來自使用者端的XML資料，而又沒有做嚴格的安全控制，從而導致XML外部實體注入，造成檔案讀取、命令執行、內網埠掃描、攻擊內網網站、發起dos攻擊等危害。XXE漏洞觸發的點往往是可以上傳XML檔案的位置，沒有對上傳的XML檔案進行過濾，導致可上傳惡意XML檔案。

　　如何防禦XXE攻擊?

　　1、儘可能使用簡單的資料格式，避免對敏感資料行序列化。

　　2、及時修復或更新應用程式或底層作業系統使用的所有XML處和庫。同時，透過依賴項檢測，將SOAP更新到1.2版本或更高版本。

　　3、在應用的所有XML解析器中禁用XML外部實體和DTD程式。

　　4、在伺服器端實施積極的輸入驗證、過濾和清以防止在XML檔案、標題或節點中出現惡意資料。

　　5、驗證XML或XSL檔案上傳功能是否使用XSD驗證或其他類似方法來驗證上傳的XML檔案。