PHP安全:XML注入漏洞防护
Posted 安全运维派
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP安全:XML注入漏洞防护相关的知识,希望对你有一定的参考价值。
文章来源:计算机与网络安全
XML注入攻击也称为XXE(XML External Entity attack)漏洞,XML文件的解析依赖于libxml库,libxml 2.9及以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的XML文件时未对XML文件引用的外部实体(含外部普通实体和外部参数实体)进行合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在XML文件中声明URI指向服务器本地的实体造成攻击。
一旦被攻击者利用,可以读取服务器任意文件、执行任意代码、发起DDos攻击。
在XML中引入外部实体一定要注意其安全性,需要进行严格的检查,或者禁止引入。
(1)对用户的输入进行过滤,如<、>、'、"、&等。
(2)常见的XML解析方法有DOMDocument、SimpleXML、XMLReader,这三者都基于libxml库解析XML,所以均受影响。xml_parse()函数则基于expact解析器,默认不载入外部DTD,不受影响。可以在PHP解析XML文件之前使用libxml_disable_entity_loader(true)来禁止加载外部实体(对上述三种XML解析组件都有效),并使用libxml_use_internal_errors()禁止报错。
推荐阅读
*
*
*
以上是关于PHP安全:XML注入漏洞防护的主要内容,如果未能解决你的问题,请参考以下文章