- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
作为最后的手段,我在这里发布了一个问题,我浏览了网页并进行了多次尝试但没有成功。
复制 XXE 攻击是我试图做的,以防止它们,但我似乎无法理解 PHP 处理 XML 实体的方式。作为记录,我在 Ubuntu 12.04 上使用 PHP 5.5.10,但我在 5.4 和 5.3 上做了一些测试,libxml2 似乎是 2.7.8 版本(它似乎不包括不解析实体的默认值)。
在下面的示例中,使用 true 或 false 调用 libxml_disable_entity_loader() 没有任何效果,或者我做错了什么。
$xml = <<<XML
<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY c PUBLIC "bar" "/etc/passwd">
]>
<root>
<test>Test</test>
<sub>&c;</sub>
</root>
XML;
libxml_disable_entity_loader(true);
$dom = new DOMDocument();
$dom->loadXML($xml);
// Prints Test.
print $dom->textContent;
但是,我可以专门将一些参数传递给 loadXML() 以允许一些选项,这在实体是本地文件而不是外部 URL 时有效。
$xml = <<<XML
<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY c PUBLIC "bar" "/etc/passwd">
]>
<root>
<test>Test</test>
<sub>&c;</sub>
</root>
XML;
$dom = new DOMDocument();
$dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD);
// Prints Test.
print $dom->textContent;
现在,如果我们将实体更改为其他实体,如下例所示,实体已解析,但我无法使用参数或函数完全禁用它...发生了什么?!
$xml = <<<XML
<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY c "Blah blah">
]>
<root>
<test>Test</test>
<sub>&c;</sub>
</root>
XML;
$dom = new DOMDocument();
$dom->loadXML($xml);
// Prints Test.
print $dom->textContent;
我能找到的唯一方法是覆盖 DOMDocument 对象的属性。
然后他们就解决了,或者不解决。
总而言之,我真的很想理解我显然不理解的东西。为什么那些参数和功能似乎没有作用? libxml2 是否优先于 PHP?
非常感谢!
引用资料:
最佳答案
保持简单..因为它应该简单:-)
libxml_disable_entity_loader
在这里做或不做任何事情取决于你的系统是否默认解析实体(我的没有)。这由 libxml 的 LIBXML_NOENT
选项控制。
没有它,文档处理器甚至可能不会尝试翻译外部实体,因此 libxml_disable_entity_loader
没有任何真正的影响(如果 libxml 默认不加载实体,这在您的测试用例中似乎就是这种情况).
将 LIBXML_NOENT
添加到 loadXML()
中,如下所示:
$dom->loadXML($xml, LIBXML_NOENT);
你会很快得到:
PHP Warning: DOMDocument::loadXML(): I/O warning : failed to load external entity "/etc/passwd" in ...
PHP Warning: DOMDocument::loadXML(): Failure to process entity c in Entity, line: 7 in ...
PHP Warning: DOMDocument::loadXML(): Entity 'c' not defined in Entity, line: 7 in ...
在这种情况下,您通过使用 LIBXML_NOENT
选项启用了实体解析,这就是它在 /etc/passwd
之后的原因。
该示例在我的机器上工作得很好,即使对于外部 URL - 我将 ENTITY
更改为这样的外部 URL:
<!ENTITY c PUBLIC "bar" "https://stackoverflow.com/opensearch.xml">
然而,它甚至会受到例如影响。 allow_url_fopen
PHP INI 设置 - 将其设置为 false,PHP 将永远不会加载远程文件。
您提供的 XML 实体不是外部实体,而是内部实体(参见例如 here)。
您的实体:
<!ENTITY c "Blah blah">
内部实体是如何定义的:
<!ENTITY % name "entity_value">
因此,PHP 或 libxml 没有理由阻止解析此类实体。
我很快就放了一个 PHP XXE tester script它尝试不同的设置并显示 XXE 是否成功以及在哪种情况下。
唯一应该实际显示警告的行是“LIBXML_NOENT”这一行。
如果任何其他行加载了 WARNING, external entity loaded!
您的设置默认允许加载外部实体。
无论您/您的提供商的机器默认设置如何,您
使用
都不会出错>应该使用 libxml_disable_entity_loader()。如果您的应用被迁移,它可能会立即变得易受攻击。
正如 MediaWiki 在 link you've posted 中所述.
Unfortunately, the way that libxml2 implements the disabling, the library is crippled when external entities are disabled, and functions that would otherwise be safe cause an exception in the entire parsing.
$oldValue = libxml_disable_entity_loader(true);
// do whatever XML-processing related
libxml_disable_entity_loader($oldValue);
注意: libxml_disable_entity_loader() 也禁止直接加载外部 xml 文件(不通过实体):
<?php
$remote_xml = "https://stackoverflow.com/opensearch.xml";
$dom = new DOMDocument();
if ($dom->load($remote_xml) !== FALSE)
echo "loaded remote xml!\n";
else
echo "failed to load remote xml!\n";
libxml_disable_entity_loader(true);
if ($dom->load($remote_xml) !== FALSE)
echo "loaded remote xml after libxml_disable_entity_loader(true)!\n";
else
echo "failed to remote xml after libxml_disable_entity_loader(true)!\n";
在我的机器上:
loaded remote xml!
PHP Warning: DOMDocument::load(): I/O warning : failed to load external entity "https://stackoverflow.com/opensearch.xml" in ...
failed to remote xml after libxml_disable_entity_loader(true)!
可能与this PHP bug有关但是 PHP 对此非常愚蠢,因为:
libxml_disable_entity_loader(true);
$dom->loadXML(file_get_contents($remote_xml));
工作得很好。
关于php - 对整个 PHP 版本的 XXE 漏洞的澄清,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24117700/
我在 JavaScript 文件中运行 PHP,例如...... var = '';). 我需要使用 JavaScript 来扫描字符串中的 PHP 定界符(打开和关闭 PHP 的 )。 我已经知道使
我希望能够做这样的事情: php --determine-oldest-supported-php-version test.php 并得到这个输出: 7.2 也就是说,php 二进制检查 test.
我正在开发一个目前不使用任何框架的大型 php 站点。我的大问题是,随着时间的推移慢慢尝试将框架融入应用程序是否可取,例如在创建的新部件和更新的旧部件中? 比如所有的页面都是直接通过url服务的,有几
下面是我的源代码,我想在同一页面顶部的另一个 php 脚本中使用位于底部 php 脚本的变量 $r1。我需要一个简单的解决方案来解决这个问题。我想在代码中存在的更新查询中使用该变量。 $name)
我正在制作一个网站,根据不同的情况进行大量 PHP 重定向。就像这样...... header("Location: somesite.com/redirectedpage.php"); 为了安全起见
我有一个旧网站,我的 php 标签从 因为短标签已经显示出安全问题,并且在未来的版本中将不被支持。 关于php - 如何避免在 php 文件中写入
我有一个用 PHP 编写的配置文件,如下所示, 所以我想用PHP开发一个接口(interface),它可以编辑文件值,如$WEBPATH , $ACCOUNTPATH和 const值(value)观
我试图制作一个登录页面来学习基本的PHP,首先我希望我的独立PHP文件存储HTML文件的输入(带有表单),但是当我按下按钮时(触发POST到PHP脚本) )我一直收到令人不愉快的错误。 我已经搜索了S
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
这个问题已经有答案了: 已关闭11 年前。 Possible Duplicate: What is the max key size for an array in PHP? 正如标题所说,我想知道
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
我在 MySQL 数据库中有一个表,其中存储餐厅在每个工作日和时段提供的菜单。 表结构如下: i_type i_name i_cost i_day i_start i_
我有两页。 test1.php 和 test2.php。 我想做的就是在 test1.php 上点击提交,并将 test2.php 显示在 div 中。这实际上工作正常,但我需要向 test2.php
我得到了这个代码。我想通过textarea更新mysql。我在textarea中回显我的MySQL,但我不知道如何更新它,我应该把所有东西都放进去吗,因为_GET模式没有给我任何东西,我也尝试_GET
首先,我是 php 的新手,所以我仍在努力学习。我在 Wordpress 上创建了一个表单,我想将值插入一个表(data_test 表,我已经管理了),然后从 data_test 表中获取所有列(id
我有以下函数可以清理用户或网址的输入: function SanitizeString($var) { $var=stripslashes($var); $va
我有一个 html 页面,它使用 php 文件查询数据库,然后让用户登录,否则拒绝访问。我遇到的问题是它只是重定向到 php 文件的 url,并且从不对发生的事情提供反馈。这是我第一次使用 html、
我有一个页面充满了指向 pdf 的链接,我想跟踪哪些链接被单击。我以为我可以做如下的事情,但遇到了问题: query($sql); if($result){
我正在使用 从外部文本文件加载 HTML/PHP 代码 $f = fopen($filename, "r"); while ($line = fgets($f, 4096)) { print $l
我是一名优秀的程序员,十分优秀!