search
UnifeiCTFTime

XXE - External XML Entity

hashtag
O que é um ataque XXE?

O ataque XXE (XML External Entity) é uma vulnerabilidade de segurança que afeta aplicativos que processam dados XML de forma insegura. Ele ocorre quando um parser XML (analisador de XML) permite a definição e o uso de entidades externas, o que pode ser explorado por um atacante para obter acesso não autorizado a arquivos internos, realizar varreduras internas de rede, ou mesmo executar comandos de forma remota.

hashtag
O que são XML Entities?

XML (eXtensible Markup Language) permite a definição de entities para reutilizar texto ou referenciar recursos externos. As external entities são entidades que podem carregar dados de arquivos ou URLs.

hashtag
Como são feitos os ataques de XXE?

O ataque de XXE pode ser explorado de várias maneiras, dependendo de como o analisador XML do aplicativo é configurado e como a resposta é renderizado no lado do cliente. Alguns dos vetores desta exploração incluem a saída dos aplicativos, avaliação de backend e interação externa

Fluxo de um ataque XXE

hashtag
Exemplo de entity interna:

<!ENTITY exemplo "Texto reutilizável">
<root>
    &exemplo;
</root>

hashtag
Exemplo de entity externa:

<!DOCTYPE root [
    <!ENTITY external SYSTEM "file:///etc/passwd">
]>
<root>
    &external;
</root>

Possível retorno:

Usando nomes de arquivos comuns, o invasor pode colocar as mãos em outras informações confidenciais do servidor.

hashtag
Vetores/Superfície de Ataque

XXE ocorre quando um parser XML mal configurado processa entidades externas. Os principais vetores incluem:

  • Upload de arquivos XML maliciosos

  • Integrações de Web Services (SOAP, REST que aceitam XML)

  • APIs que processam XML de forma insegura

  • Injeção via cabeçalhos HTTP se o servidor aceitar XML

hashtag
Tipos de XXE

hashtag
1 Retorno de Arquivo

O atacante recupera arquivos sensíveis do sistema.

Impacto: Exposição de credenciais e informações sensíveis.

hashtag
2️ Blind XXE

A resposta não retorna diretamente o conteúdo, mas pode ser enviada para um servidor externo.

Impacto: Exfiltração silenciosa de informação.

hashtag
3️ XInclude Attack

Algumas aplicações bloqueiam entidades externas, mas permitem XInclude.

Impacto: Similar ao XXE, usado como alternativa caso entidades externas estejam desativadas.

hashtag
4 DoS - Ataque Billion Laughs

Impacto: Pode travar o servidor com uso intensivo de CPU/memória.

hashtag
5 SSRF com XXE

Impacto: Acesso indevido a serviços internos via requisições do servidor.

hashtag
Ofuscação de Payloads

Alguns WAFs e parsers bloqueiam , mas é possível contornar com:

  • Codificação hexadecimal ou base64

  • Uso de CDATA

  • Divisão de entidades em múltiplas linhas

  • Encadeamento de entidades internas

Casos Reais

  • CVE-2017-12629 – Apache Solr XXE levando a RCE

  • CVE-2017-10271 – Oracle WebLogic com XXE + RCE

  • CVE-2013-1664 – Ruby on Rails vulnerável a XXE

hashtag
Mitigação/Prevenção

hashtag
Como verificar se o servidor está vulnerável?

  • Testar com um XML malicioso e verificar a resposta

  • Analisar configurações do parser XML usado

  • Usar ferramentas como Burp Collaborator para exfiltração de dados (Blind XXE)

hashtag
Boas práticas de prevenção

  • Desativar entidades externas no parser XML.

  • Usar bibliotecas seguras: Algumas versões modernas bloqueiam XXE por padrão.

  • Validar input: Não confiar em XML externo.

hashtag
Configuração segura para parsers:

hashtag
Java:

hashtag
Python (lxml):

hashtag
.NET:

hashtag
🛠️ Ferramentas para Testes

  • Burp Suite (Scanner de XXE)

  • XXEinjector (Automatiza testes de XXE)

  • Nmap (Scripts NSE para detectar XXE)

  • SecLists (Lista de payloads de XXE)

AnteriorCSRF - Cross Site Request ForgeryPróximoXSS - Cross Site Scripting

Atualizado