PHP安全:XML注入漏洞防护

Posted 安全运维派

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP安全:XML注入漏洞防护相关的知识,希望对你有一定的参考价值。

文章来源:计算机与网络安全

XML注入攻击也称为XXE(XML External Entity attack)漏洞,XML文件的解析依赖于libxml库,libxml 2.9及以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的XML文件时未对XML文件引用的外部实体(含外部普通实体和外部参数实体)进行合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在XML文件中声明URI指向服务器本地的实体造成攻击。


一旦被攻击者利用,可以读取服务器任意文件、执行任意代码、发起DDos攻击。


在XML中引入外部实体一定要注意其安全性,需要进行严格的检查,或者禁止引入。


(1)对用户的输入进行过滤,如<、>、'、"、&等。


(2)常见的XML解析方法有DOMDocument、SimpleXML、XMLReader,这三者都基于libxml库解析XML,所以均受影响。xml_parse()函数则基于expact解析器,默认不载入外部DTD,不受影响。可以在PHP解析XML文件之前使用libxml_disable_entity_loader(true)来禁止加载外部实体(对上述三种XML解析组件都有效),并使用libxml_use_internal_errors()禁止报错。



PHP安全:XML注入漏洞防护


推荐阅读

PHP安全:XML注入漏洞防护



PHP安全:XML注入漏洞防护

*

*

*

                                                                                         

                                                                        


以上是关于PHP安全:XML注入漏洞防护的主要内容,如果未能解决你的问题,请参考以下文章

网站代码sql注入攻击漏洞修复加固防护措施

SQL注入漏洞简介原理及防护

安全漏洞通告WebLogic XML外部实体注入漏洞

Web系统常见安全漏洞介绍及解决方案-sql注入

PHP环境 XML外部实体注入漏洞(XXE)

漏洞报送WebSphere XML外部实体(XXE)注入漏洞