——版本1.0

Timothy D. Morgan (@ecbftw) Omar Al Ibrahim (oalibrahim@vsecurity.com)

可扩展标记语言（XML）是在无数的软件项目中使用的一个非常普遍的技术。XML的核心特性是使用架构（schema）和文档类型定义（DTD）定义和验证文档结构。当使用不当时，这些文档的定义和验证功能的某些方面可能会导致使用XML的应用程序中出现安全漏洞。

本文档会提供有关这些攻击的最新参考资料， 并且列举出适用于最流行的XML解析器的所有已知技术，同时对一些新的攻击方式进行研究。

XML是一种非常流行的标记语言，在20世纪90年代后期首次标准化，并被无数软件项目采用。它用于配置文件，文档格式（如OOXML，ODF，PDF，RSS，...），图像格式（SVG，EXIF hears）和网络协议（WebDAV，CalDAV，XMLRPC，SOAP，XMPP，SAML， XACML，...）。这些例子仅仅触及表面。XML已经普遍到，任何影响XML的弱点或安全漏洞，无论多么微小，都可能对全世界的计算机系统产生严重影响，因为它所使用的环境的多样性和不可预测性。

XML设计中内置的某些功能，即内联架构和文档类型定义（DTD）是潜在安全问题众所周知的来源。尽管已经公开讨论了十多年，但很大一部分使用XML的软件仍然容易受到恶意DTD的攻击。正如人们所期望的那样，任何众所周知但又常见的漏洞类型，都源于这样一个事实，即开发社区内的整体意识仍然很低，而许多XML解析器的行为默认情况下是暴露有风险的特性。本文试图通过提供各种XML架构和DTD攻击的最新参考来解决这些问题。同时，我们希望这带来的任何额外认识将有助于鼓励XML库供应商的开发人员默认禁用最危险的功能，并改进API文档以减轻任何剩余风险。

标准通用标记语言(SGML)是一种用于为文档定义通用标记语言的iso标准技术。该标准（ISO 8879）于1986年推出，源自IBM的早期标记语言（GML），旨在描述文档及其元素的结构，而不考虑如何显示这些元素，因为外观特征可能根据解释器使用的输出媒体和样式首选项而变化。超文本标记语言(HTML)是基于sgml的语言的一个例子，它是用于创建web页面和其他可以在web浏览器中显示的信息的主要标记语言。

HTML用于定义格式化的文档，web浏览器可以将其呈现为可视或有声的web页面。可扩展标记语言(XML)用于定义一种标记语言，该语言为文档的编码规则设置了一种便于传输和存储数据的形式。W3C XML 1.0规范和其他免费开放标准中定义的XML可以看作是SGML的衍生品，与完整的SGML解析器相比，XML的目的是简化解析器的实现。随后，XML通过禁用许多SGML功能（例如支持嵌套子文档或未闭合的开始和结束标记）来支持参考语法的受限子集。由于其轻量级实现，XML目前不仅广泛用于表示文档，而且广泛用于表示web服务调用中的数据结构。因此，开发了许多应用程序编程接口(api)来帮助软件开发人员处理XML数据，并且存在一些模式系统来帮助定义基于XML的语言。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)