Модулі обробки XML¶
Вихідний код: Lib/xml/
Інтерфейси Python для обробки XML згруповані в пакеті xml.
Попередження
Модулі XML не захищені від помилкових або зловмисно створених даних. Якщо вам потрібно проаналізувати ненадійні або неавтентифіковані дані, перегляньте розділи Уразливості XML і The defusedxml Package.
Важливо зазначити, що модулі в пакеті xml вимагають наявності принаймні одного XML-аналізатора, сумісного з SAX. Синтаксичний аналізатор Expat включено в Python, тому модуль xml.parsers.expat буде завжди доступним.
Документація для пакетів xml.dom і xml.sax містить визначення прив’язок Python для інтерфейсів DOM і SAX.
Субмодулі обробки XML:
xml.etree.ElementTree: API ElementTree, простий і легкий процесор XML
xml.dom: визначення DOM APIxml.dom.minidom: мінімальна реалізація DOMxml.dom.pulldom: підтримка створення часткових дерев DOM
xml.sax: Базові класи SAX2 і зручні функціїxml.parsers.expat: прив’язка аналізатора Expat
Уразливості XML¶
Модулі обробки XML не захищені від зловмисно створених даних. Зловмисник може зловживати функціями XML для здійснення атак на відмову в обслуговуванні, доступу до локальних файлів, створення мережевих підключень до інших машин або обходу брандмауерів.
У наведеній нижче таблиці наведено огляд відомих атак і вразливість різних модулів до них.
вид |
саксофон |
etree |
мінідом |
тяга |
xmlrpc |
|---|---|---|---|---|---|
мільярд сміху |
Вразливий (1) |
Вразливий (1) |
Вразливий (1) |
Вразливий (1) |
Вразливий (1) |
квадратичне роздуття |
Вразливий (1) |
Вразливий (1) |
Вразливий (1) |
Вразливий (1) |
Вразливий (1) |
розширення зовнішньої сутності |
Безпечний (5) |
Безпечний (2) |
Безпечний (3) |
Безпечний (5) |
Безпечний (4) |
DTD пошук |
Безпечний (5) |
Сейф |
Сейф |
Безпечний (5) |
Сейф |
декомпресійна бомба |
Сейф |
Сейф |
Сейф |
Сейф |
Вразливий |
large tokens |
Vulnerable (6) |
Vulnerable (6) |
Vulnerable (6) |
Vulnerable (6) |
Vulnerable (6) |
Expat 2.4.1 and newer is not vulnerable to the «billion laughs» and «quadratic blowup» vulnerabilities. Items still listed as vulnerable due to potential reliance on system-provided libraries. Check
pyexpat.EXPAT_VERSION.xml.etree.ElementTreedoesn’t expand external entities and raises aParseErrorwhen an entity occurs.xml.dom.minidomне розгортає зовнішні сутності, а просто повертає нерозгорнуту сутність дослівно.xmlrpc.clientdoesn’t expand external entities and omits them.Починаючи з Python 3.7.1, зовнішні загальні сутності більше не обробляються за замовчуванням.
Expat 2.6.0 and newer is not vulnerable to denial of service through quadratic runtime caused by parsing large tokens. Items still listed as vulnerable due to potential reliance on system-provided libraries. Check
pyexpat.EXPAT_VERSION.
- мільярд сміхів / експоненціальне розширення сутності
Атака Billion Laughs — також відома як експоненціальне розширення об’єктів — використовує кілька рівнів вкладених об’єктів. Кожна сутність посилається на іншу сутність кілька разів, і остаточне визначення сутності містить невеликий рядок. Експоненціальне розширення призводить до кількох гігабайт тексту та споживає багато пам’яті та часу ЦП.
- квадратичне розширення сутності
A quadratic blowup attack is similar to a Billion Laughs attack; it abuses entity expansion, too. Instead of nested entities it repeats one large entity with a couple of thousand chars over and over again. The attack isn’t as efficient as the exponential case but it avoids triggering parser countermeasures that forbid deeply nested entities.
- розширення зовнішньої сутності
Оголошення сутностей можуть містити більше, ніж просто текст для заміни. Вони також можуть вказувати на зовнішні ресурси або локальні файли. Синтаксичний аналізатор XML отримує доступ до ресурсу та вбудовує вміст у документ XML.
- DTD пошук
Деякі бібліотеки XML, такі як
xml.dom.pulldomPython, отримують визначення типів документів із віддалених або локальних місць. Ця функція має такі ж наслідки, як і проблема розширення зовнішнього об’єкта.- декомпресійна бомба
Бомби декомпресії (також відомі як ZIP-бомба) застосовуються до всіх бібліотек XML, які можуть аналізувати стислі потоки XML, такі як потоки HTTP, стиснуті gzip, або файли, стиснуті за допомогою LZMA. Для зловмисника це може зменшити обсяг переданих даних на три або більше величин.
- large tokens
Expat needs to re-parse unfinished tokens; without the protection introduced in Expat 2.6.0, this can lead to quadratic runtime that can be used to cause denial of service in the application parsing XML. The issue is known as CVE-2023-52425.
The documentation for defusedxml on PyPI has further information about all known attack vectors with examples and references.
The defusedxml Package¶
defusedxml is a pure Python package with modified subclasses of all stdlib XML parsers that prevent any potentially malicious operation. Use of this package is recommended for any server code that parses untrusted XML data. The package also ships with example exploits and extended documentation on more XML exploits such as XPath injection.