个人中心
文章发布
退出
作者热门文章
- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
28
4
作为最后的手段,我在这里发布了一个问题,我浏览了网页并进行了多次尝试但没有成功。
复制 XXE 攻击是我试图做的,以防止它们,但我似乎无法理解 PHP 处理 XML 实体的方式。作为记录,我在 Ubuntu 12.04 上使用 PHP 5.5.10,但我在 5.4 和 5.3 上做了一些测试,libxml2 似乎是 2.7.8 版本(它似乎不包括不解析实体的默认值)。
在下面的示例中,使用 true 或 false 调用 libxml_disable_entity_loader() 没有任何效果,或者我做错了什么。
$xml = <<<XML
<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY c PUBLIC "bar" "/etc/passwd">
]>
<root>
<test>Test</test>
<sub>&c;</sub>
</root>
XML;
libxml_disable_entity_loader(true);
$dom = new DOMDocument();
$dom->loadXML($xml);
// Prints Test.
print $dom->textContent;
但是,我可以专门将一些参数传递给 loadXML() 以允许一些选项,这在实体是本地文件而不是外部 URL 时有效。
$xml = <<<XML
<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY c PUBLIC "bar" "/etc/passwd">
]>
<root>
<test>Test</test>
<sub>&c;</sub>
</root>
XML;
$dom = new DOMDocument();
$dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD);
// Prints Test.
print $dom->textContent;
现在,如果我们将实体更改为其他实体,如下例所示,实体已解析,但我无法使用参数或函数完全禁用它...发生了什么?!
$xml = <<<XML
<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY c "Blah blah">
]>
<root>
<test>Test</test>
<sub>&c;</sub>
</root>
XML;
$dom = new DOMDocument();
$dom->loadXML($xml);
// Prints Test.
print $dom->textContent;
我能找到的唯一方法是覆盖 DOMDocument 对象的属性。
然后他们就解决了,或者不解决。
总而言之,我真的很想理解我显然不理解的东西。为什么那些参数和功能似乎没有作用? libxml2 是否优先于 PHP?
非常感谢!
引用资料:
最佳答案
保持简单..因为它应该简单:-)
libxml_disable_entity_loader 在这里做或不做任何事情取决于你的系统是否默认解析实体(我的没有)。这由 libxml 的 LIBXML_NOENT 选项控制。
没有它,文档处理器甚至可能不会尝试翻译外部实体,因此 libxml_disable_entity_loader 没有任何真正的影响(如果 libxml 默认不加载实体,这在您的测试用例中似乎就是这种情况).
将 LIBXML_NOENT 添加到 loadXML() 中,如下所示:
$dom->loadXML($xml, LIBXML_NOENT);
你会很快得到:
PHP Warning: DOMDocument::loadXML(): I/O warning : failed to load external entity "/etc/passwd" in ...
PHP Warning: DOMDocument::loadXML(): Failure to process entity c in Entity, line: 7 in ...
PHP Warning: DOMDocument::loadXML(): Entity 'c' not defined in Entity, line: 7 in ...
在这种情况下,您通过使用 LIBXML_NOENT 选项启用了实体解析,这就是它在 /etc/passwd 之后的原因。
该示例在我的机器上工作得很好,即使对于外部 URL - 我将 ENTITY 更改为这样的外部 URL:
<!ENTITY c PUBLIC "bar" "https://stackoverflow.com/opensearch.xml">
然而,它甚至会受到例如影响。 allow_url_fopen PHP INI 设置 - 将其设置为 false,PHP 将永远不会加载远程文件。
您提供的 XML 实体不是外部实体,而是内部实体(参见例如 here)。
您的实体:
<!ENTITY c "Blah blah">
内部实体是如何定义的:
<!ENTITY % name "entity_value">
因此,PHP 或 libxml 没有理由阻止解析此类实体。
我很快就放了一个 PHP XXE tester script它尝试不同的设置并显示 XXE 是否成功以及在哪种情况下。
唯一应该实际显示警告的行是“LIBXML_NOENT”这一行。
如果任何其他行加载了 WARNING, external entity loaded! 您的设置默认允许加载外部实体。
无论您/您的提供商的机器默认设置如何,您
使用
都不会出错>应该使用 libxml_disable_entity_loader()。如果您的应用被迁移,它可能会立即变得易受攻击。
正如 MediaWiki 在 link you've posted 中所述.
Unfortunately, the way that libxml2 implements the disabling, the library is crippled when external entities are disabled, and functions that would otherwise be safe cause an exception in the entire parsing.
$oldValue = libxml_disable_entity_loader(true);
// do whatever XML-processing related
libxml_disable_entity_loader($oldValue);
注意: libxml_disable_entity_loader() 也禁止直接加载外部 xml 文件(不通过实体):
<?php
$remote_xml = "https://stackoverflow.com/opensearch.xml";
$dom = new DOMDocument();
if ($dom->load($remote_xml) !== FALSE)
echo "loaded remote xml!\n";
else
echo "failed to load remote xml!\n";
libxml_disable_entity_loader(true);
if ($dom->load($remote_xml) !== FALSE)
echo "loaded remote xml after libxml_disable_entity_loader(true)!\n";
else
echo "failed to remote xml after libxml_disable_entity_loader(true)!\n";
在我的机器上:
loaded remote xml!
PHP Warning: DOMDocument::load(): I/O warning : failed to load external entity "https://stackoverflow.com/opensearch.xml" in ...
failed to remote xml after libxml_disable_entity_loader(true)!
可能与this PHP bug有关但是 PHP 对此非常愚蠢,因为:
libxml_disable_entity_loader(true);
$dom->loadXML(file_get_contents($remote_xml));
工作得很好。
关于php - 对整个 PHP 版本的 XXE 漏洞的澄清,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24117700/
28
4
0
无法使用 Hive 版本 1.1.0 HBase 版本 0.94.8 和 hadoop 版本 2.7.0 从 hive 创建 Hbase 表 hive (default)> CREATE TABLE
我试图为 electron app 创建可执行文件但面临这个问题 Unable to determine Electron version. Please specify an Electron ve
我正在尝试让自适应阈值在 python 绑定(bind)到 opencv 中工作(swig 一个 - 无法让 opencv 2.0 工作,因为我正在使用 beagleboard 因为交叉编译还没有工作
我一直在 linux 机器上使用 JMeter,在命令行下使用了一段时间。工作正常。 今天,我在 Windows 机器(新客户端等)上尝试了它,它确实可以工作,但在控制台窗口中输出有很大不同。 Lin
在我的编码环境中,我通常使用最新版本的 Java 和 Eclipse。当我编写源代码时,我不会注意我使用的 API 方法或类是否向后兼容旧版本的 Java 或 Eclipse。在 javadoc 中存
问题是关于版本的特定组合,但更普遍。 我刚刚从 Kubuntu 12.04 升级到 14.04。现在,当我想编译 CUDA 代码(使用 CUDA 6.5)时,我得到: #error -- unsupp
我目前正在对我的一些应用程序进行沙箱处理,看来我必须删除一些功能才能满足 Mac App Store 沙箱(和其他)规则。 显然用户不会因为失去功能而感到高兴,我担心他们不会指责苹果制定了愚蠢的规则,
我用 flash 和 js 版本创建了一个动画横幅。 是否可以检测低于版本 9 的 ie 版本,然后提供 Flash 横幅,否则提供 js 横幅。 最佳答案 您可以使用条件注释来检测 IE 版本
我有一个处理不同位置的数据库的应用程序,我想检查这些数据库是否使用 Firebird 2.5 或更高版本打开。我们最近从 Firebird 2.0 迁移到了 2.5,我们有很多数据库可以响应 sele
我正在开发一个应用程序,我使用托管在我的服务器上的 Java 和 Jersey 构建了后端部分。我在服务器上使用 Tomcat7 来调用 Web 服务。 我以前有一台安装了 Ubuntu 的计算机,我
我可以使用 GetVersionEx() 函数来获取 Windows 版本,但是这个函数将返回一个数字而不是一个字符串。但是没有问题,因为我可以将数字转换为字符串,例如: if (osvi.dwMaj
我已经在我的系统中安装了 Anaconda 2 & 3。 Anaconda 2 包含 python 2.7 & Anaconda 3 包含 python 3.6。 我需要使用命令提示符运行我的 pyt
我正在尝试构建一个 Android 项目,但发生了以下错误 Error:(10, 1) A problem occurred evaluating project ':app'. > Failed t
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 4 年前。 Improve this qu
在降级我的 GCC 之前,我想知道是否有办法确定我的机器中的哪些程序/框架或依赖项会中断,以及是否有更好的方法来执行 openpose 安装? (例如,在 CMake 中更改某些内容) 有没有办法在不
我已经在终端的代码sudo apt-get install Shadowsocks-qt5中安装了Shadowsocks-Qt5,然后我可以通过搜索找到启动图标,但是它当我点击图标时打不开。然后我尝试
在网络上找到的文档说,MLLP V2(第 2 版)是用于传输 HL7 版本 3 内容的所有消息传输协议(protocol)的要求。似乎 MLLP 第 2 版主要用于 HL7 第 3 版。 我们可以/应
我正在使用带有 selinium webdriver 的 Protractor 。我的chromeDriver版本是78.0.1,chrome版本是78.0.3904.97。两个版本都匹配,应该不会有
我正在按照教程设置 mysql 数据库并做一些事情。我无法找到数据库资源管理器。我读了很多,但在 Window->show View-> Dataxxx 或右侧上部选项卡中无法正常工作。 最佳答案 从
我已经在 KDE 桌面上安装了 Anaconda 2.0.1。当我运行 python 并看到所有已安装的模块时,我收到此消息“无法将不兼容的 Qt 库(版本 0x40801)与该库(版本 0x4080
我是一名优秀的程序员,十分优秀!