Модулі обробки XML

Вихідний код: Lib/xml/


Інтерфейси Python для обробки XML згруповані в пакеті xml.

Попередження

Модулі XML не захищені від помилкових або зловмисно створених даних. Якщо вам потрібно проаналізувати ненадійні або неавтентифіковані дані, перегляньте розділи Уразливості XML і The defusedxml Package.

Важливо зазначити, що модулі в пакеті xml вимагають наявності принаймні одного XML-аналізатора, сумісного з SAX. Синтаксичний аналізатор Expat включено в Python, тому модуль xml.parsers.expat буде завжди доступним.

Документація для пакетів xml.dom і xml.sax містить визначення прив’язок Python для інтерфейсів DOM і SAX.

Субмодулі обробки XML:

  • xml.dom: визначення DOM API

  • xml.dom.minidom: мінімальна реалізація DOM

  • xml.dom.pulldom: підтримка створення часткових дерев DOM

  • xml.sax: Базові класи SAX2 і зручні функції

  • xml.parsers.expat: прив’язка аналізатора Expat

Уразливості XML

Модулі обробки XML не захищені від зловмисно створених даних. Зловмисник може зловживати функціями XML для здійснення атак на відмову в обслуговуванні, доступу до локальних файлів, створення мережевих підключень до інших машин або обходу брандмауерів.

У наведеній нижче таблиці наведено огляд відомих атак і вразливість різних модулів до них.

вид

саксофон

etree

мінідом

тяга

xmlrpc

мільярд сміху

Вразливий (1)

Вразливий (1)

Вразливий (1)

Вразливий (1)

Вразливий (1)

квадратичне роздуття

Вразливий (1)

Вразливий (1)

Вразливий (1)

Вразливий (1)

Вразливий (1)

розширення зовнішньої сутності

Безпечний (5)

Безпечний (2)

Безпечний (3)

Безпечний (5)

Безпечний (4)

DTD пошук

Безпечний (5)

Сейф

Сейф

Безпечний (5)

Сейф

декомпресійна бомба

Сейф

Сейф

Сейф

Сейф

Вразливий

large tokens

Vulnerable (6)

Vulnerable (6)

Vulnerable (6)

Vulnerable (6)

Vulnerable (6)

  1. Expat 2.4.1 and newer is not vulnerable to the «billion laughs» and «quadratic blowup» vulnerabilities. Items still listed as vulnerable due to potential reliance on system-provided libraries. Check pyexpat.EXPAT_VERSION.

  2. xml.etree.ElementTree doesn’t expand external entities and raises a ParserError when an entity occurs.

  3. xml.dom.minidom не розгортає зовнішні сутності, а просто повертає нерозгорнуту сутність дослівно.

  4. xmlrpclib doesn’t expand external entities and omits them.

  5. Починаючи з Python 3.7.1, зовнішні загальні сутності більше не обробляються за замовчуванням.

  6. Expat 2.6.0 and newer is not vulnerable to denial of service through quadratic runtime caused by parsing large tokens. Items still listed as vulnerable due to potential reliance on system-provided libraries. Check pyexpat.EXPAT_VERSION.

мільярд сміхів / експоненціальне розширення сутності

Атака Billion Laughs — також відома як експоненціальне розширення об’єктів — використовує кілька рівнів вкладених об’єктів. Кожна сутність посилається на іншу сутність кілька разів, і остаточне визначення сутності містить невеликий рядок. Експоненціальне розширення призводить до кількох гігабайт тексту та споживає багато пам’яті та часу ЦП.

квадратичне розширення сутності

A quadratic blowup attack is similar to a Billion Laughs attack; it abuses entity expansion, too. Instead of nested entities it repeats one large entity with a couple of thousand chars over and over again. The attack isn’t as efficient as the exponential case but it avoids triggering parser countermeasures that forbid deeply-nested entities.

розширення зовнішньої сутності

Оголошення сутностей можуть містити більше, ніж просто текст для заміни. Вони також можуть вказувати на зовнішні ресурси або локальні файли. Синтаксичний аналізатор XML отримує доступ до ресурсу та вбудовує вміст у документ XML.

DTD пошук

Деякі бібліотеки XML, такі як xml.dom.pulldom Python, отримують визначення типів документів із віддалених або локальних місць. Ця функція має такі ж наслідки, як і проблема розширення зовнішнього об’єкта.

декомпресійна бомба

Бомби декомпресії (також відомі як ZIP-бомба) застосовуються до всіх бібліотек XML, які можуть аналізувати стислі потоки XML, такі як потоки HTTP, стиснуті gzip, або файли, стиснуті за допомогою LZMA. Для зловмисника це може зменшити обсяг переданих даних на три або більше величин.

large tokens

Expat needs to re-parse unfinished tokens; without the protection introduced in Expat 2.6.0, this can lead to quadratic runtime that can be used to cause denial of service in the application parsing XML. The issue is known as CVE-2023-52425.

The documentation for defusedxml on PyPI has further information about all known attack vectors with examples and references.

The defusedxml Package

defusedxml is a pure Python package with modified subclasses of all stdlib XML parsers that prevent any potentially malicious operation. Use of this package is recommended for any server code that parses untrusted XML data. The package also ships with example exploits and extended documentation on more XML exploits such as XPath injection.