SVG 揭秘：瞭解 XXE 漏洞並保護您的代碼庫

在深入研究漏洞之前，我們將首先檢查 XML、SVG 檔格式以及 XXE 注入技術背後的根本原因。 

XML（可擴充標記語言）是一種獨立於平臺的檔案格式，用於儲存和交換結構化資料。XML 支援分層結構，使其成為表示複雜資料關係的理想選擇。XML 格式的資料以與 HTML 相同的方式組織為標記、屬性和內容。但是，XML 是高度可客製化和可擴展的，允許使用者定義其標記和屬性以滿足其要求。下圖顯示了 IT XML 格式的部門。 

在 XML 中，實體是資料的佔位元，允許您將文字或整個檔案嵌入到當前檔案中。在語法上，XML 中的實體由與號 （&） 和分號 （;) 括起來。在下面的範例中，在檔案類型定義中定義了兩個實體，並引用了 XML 檔的內容。這兩個實體之間的區別在於，內部實體是在當前檔案中定義和引用的，而外部實體的內容來自外部檔案。解析和解析實體後，實體將替換為相應的資料。 

SVG（可縮放向量圖形）是一種通用的檔案格式，廣泛用於 Web 開發、圖形設計和資料可視化。與 JPEG 或 PNG 等傳統圖像格式不同，SVG 使用 XML 格式來描述二維向量圖形。具體來說，SVG 圖像由直線、曲線和多邊形等幾何形狀組成，由數學方程式而不是單個像素定義。因此，SVG 圖形可以無限縮放而不會損失品質，使其成為回應式網頁設計和高解析度顯示的理想選擇。由於 SVG 格式的 XML 性質，它還為 XML 相關漏洞提供了潛在的攻擊媒介。 

我們將研究一個真實案例的 XXE，即 SVGLIB 庫，最高版本為 0.9.3。該漏洞於 2020 年發現並分配了 CVE-2020-10799。我們將首先檢查庫的流程，分析易受攻擊的代碼片段，最後透過SVG到PNG轉換服務證明利用。目標是使用易受攻擊的SVGLIB版本進行轉換的自行實現的Web應用程式。 

svglib 是一個純 Python 庫，旨在使用 Report Lab 開源工具包將 SVG 格式轉換為其他格式，例如 PNG、JPG、PDF 等。由於 SVG 檔使用 XML 格式，因此解析和處理 XML 也是庫主流程的相關部分。庫中的 3 個主要步驟如下： 

該漏洞存在於SVG檔解析過程中，如果配置錯誤，將泄露伺服器上的敏感資料，並可能導致SSRF漏洞。進一步檢查 svglib 包的原始程式碼，XXE 漏洞是由於在載入 SVG 檔時使用預設配置來解析和處理 XML 格式所致。該包使用 lxml 包，其中 XMLParser 類的resolve_實體屬性的預設值為 True。  

OPSWAT MetaDefender 軟體 Supply Chain 透過多種技術的組合，提供擴展的可見性和針對供應鏈風險的強大防禦。 OPSWAT 軟體物料清單 （SBOM） 有助於瞭解開源第三方軟體包，並識別容器映像每一層下存在的軟體依賴項、漏洞或其他潛在風險。整合了30多個防病毒引擎， Multiscanning技術 的惡意軟體檢測率達到99.99%以上。此外， 主動式 DLP（資料外洩防護）技術可 識別密碼、機密、令牌、 API 金鑰或原始程式碼中保留的其他敏感資訊。借助我們的零信任威脅檢測和防禦技術，您的軟體開發生命週期 （SDLC） 可以免受惡意軟體和漏洞的侵害，從而增強應用程式的安全性和合規性。  

使漏洞利用成為可能的另一個原因是應用程式處理注入了惡意有效負載的 SVG 檔。因此，如果在輸入轉換服務之前對圖像檔進行清理，則有效負載將被消除，從而防止攻擊發生。檔案無毒化 （CDR） 技術MetaDefender Core 透過清理和重建檔來防止已知和未知的檔案傳播威脅。支援160多種常見檔案類型和數百種檔重建選項， OPSWAT的Deep CDR（檔案無毒化） 消除了任何潛在的嵌入式威脅，確保經過清理的檔保持完全可用且內容安全。