PHP XML注入及防护(XXE)

一、什么是XML注入

XML注入攻击也被称为XXE(XML External Entity attack)漏洞。

XML 文件的解析依赖于libxml库,服务端解析用户提交的XML文件时,未对 XML 文件引用的外部实体进行合适的处理,并且实体的 URL 支持 file:// 和 php:// 等协议,攻击者可以在 XML文件中声明 URI,指向服务器本地的实体造成攻击。

XXE 漏洞一旦被攻击者利用,可以读取服务器任意文件、执行任意代码、发起 DDos 攻击。

在 XML 中引入外部实体(含外部普通实体和外部参数实体)一定要注意器安全性,需要进行严格的检查,或者禁止注入。

二、XML漏洞(XXE)的防护

1、对用户的输入进行过滤,如 <、>、'、"、& 等。

2、在 PHP 解析 XML 文件之前使用 libxml_disable_entity_loader(true) 禁止加载外部实体,并使用libxml_use_internal_errors()禁止报错。

注:常见的 XML 解析方法有 DOMDocument、SimpleXML、XMLReader,这三者都给予libxml 库解析 XML,所以均受影响。 xml_parse() 函数基于expact 解析器,默认不载入外部 DTD,不受影响。

三、推荐文章

https://www.cnblogs.com/bmjoker/p/9452327.html

https://www.cnblogs.com/xiaozi/p/5785165.html