在PenTest之后,安全团队在通过HTTPS请求从我们的Web应用程序提交Orbeon表单时发现了XXE攻击的可能性。
他们能够拦截以下XML:
<!DOCTYPE event-request [<!ENTITY nbsp " ">]>
<xxf:event-request xmlns:xxf="http://orbeon.org/oxf/xml/xforms">
<xxf:uuid>8a89ecf50184eb16f5671301691e0d9457568667</xxf:uuid>
<xxf:sequence>16</xxf:sequence>
<xxf:action>
<xxf:event name="xxforms-blur" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control"/>
<xxf:event name="xforms-focus" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control"/>
<xxf:event name="xxforms-value" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control">Tester<</xxf:event>
<xxf:event name="xxforms-blur" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control"/>
</xxf:action>
</xxf:event-request>
并注入一个新的外部实体,
<!DOCTYPE event-request [<!ENTITY nbsp " "><!ENTITY test "My-OwnEntity">]>
<xxf:event-request xmlns:xxf="http://orbeon.org/oxf/xml/xforms">
<xxf:uuid>8a89ecf50184eb16f5671301691e0d9457568667</xxf:uuid>
<xxf:sequence>16</xxf:sequence>
<xxf:action>
<xxf:event name="xxforms-blur" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control"/>
<xxf:event name="xforms-focus" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control"/>
<xxf:event name="xxforms-value" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control">My-OwnEntity</xxf:event>
<xxf:event name="xxforms-blur" source-control-id="pd-section-per-sonalData-control≡xf-474≡pd-birthName-control"/>
</xxf:action>
</xxf:event-request>
然后正确处理请求,实体的值出现在服务器返回的响应中。
根据他们,提出了两种方法/解决方案:1.创建允许实体的白名单;或2.在所有情况下防止处理这些外部实体。
但是我在Orbeon留档中找不到实现这些解决方案的方法(第二个更适合我的具体案例)。有人知道如何做到这一点,或者经历过类似的情况并以不同的方式处理它吗?
谢谢你。
解析XML时处理实体可能是一个安全问题,例如允许十亿笑攻击拒绝服务攻击,但如果操作正确,它不一定是一个问题。Orbeon Forms从4.0版开始使用SecurityManager(#686)设置用于XML解析的Xerces,据我所知,在这种情况下,实体解析是安全的。
