php - 我如何使用 PHP 的各种 XML 库来获得类似 DOM 的功能并避免 DoS 漏洞，如 Billion Laughs 或 Quadratic Blowup？

Question

我正在用 PHP 编写一个具有 XML API 的 Web 应用程序，我担心三个特定的漏洞，它们都与内联 DOCTYPE 定义有关:本地文件包含、二次实体爆炸和指数实体爆炸。我喜欢使用 PHP (5.3) 的内置库，但我想确保我不会受到这些影响。

我发现我可以使用 libxml_disable_entity_loader 消除 LFI，但这对内联 ENTITY 声明没有帮助，包括引用其他实体的实体。

SimpleXML 库(SimpleXMLElement、simplexml_load_string 等)很棒，因为它是一个 DOM 解析器，而且我的所有输入都相当小；它让我可以很容易地使用 xpath 和操作 DOM。我不知道如何停止 ENTITY 声明。 (如果可能的话，我很乐意禁用所有内联 DOCTYPE 定义。)

XML 解析器库(xml_parser_create、xml_set_element_handler 等)允许我使用 xml_set_default_handler 设置默认处理程序，其中包括实体。我可以破解它，因此对于无法识别的实体，它只返回原始字符串(即“&ent;”)。不过这个库令人沮丧:因为它是一个 SAX 解析器，所以我必须编写一堆处理程序(多达 9..)。

那么是否可以使用内置库，取出类似 DOM 的对象，并保护自己免受这些各种 DoS 漏洞的侵害？谢谢

此页面描述了三个漏洞，并提供了解决方案...如果我使用 .NET:http://msdn.microsoft.com/en-us/magazine/ee335713.aspx

更新:

<?php
$s = <<<EOF
<?xml version="1.0?>
<!DOCTYPE data [
<!ENTITY en "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa....">
]>
<data>&en;&en;&en;&en;&en;&en;&en;&en;&en;&en;&en;&en;.....</data>
EOF;
$doc = new DOMDocument();
$doc->loadXML($s);
var_dump($d->lastChild->nodeValue);
?>

我也尝试了 loadXML($s, LIBXML_NOENT);。在这两种情况下，我最终都倾倒了 300+ MB。我还缺少什么吗？

Answer 1

Note: If you create test-cases with files that contain the XML chunks in the following, expect that editors might be prone to these attacks as well and might freeze/crash.

亿笑

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

加载时:

FATAL: #89: Detected an entity reference loop 1:7
... (plus six times the same = seven times total with above)
FATAL: #89: Detected an entity reference loop 14:13

结果:

<?xml version="1.0"?>

内存使用量很小，DOMDocument 未达到峰值。由于此示例显示了 7 个 fatal error ，因此可以得出结论，确实如此，因此加载时没有错误:

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
]>
<lolz>&lol2;</lolz>

由于实体替换无效并且这项工作有效，让我们尝试一下

二次放大

这里就是这个，为了您的观看乐趣而缩短(我的变体大约为 27/11kb):

<?xml version="1.0"?>
<!DOCTYPE kaboom [
  <!ENTITY a "aaaaaaaaaaaaaaaaaa...">
]>
<kaboom>&a;&a;&a;&a;&a;&a;&a;&a;&a;...</kaboom>

如果你使用 $doc->loadXML($src, LIBXML_NOENT); 这确实是一种攻击，当我写这个的时候，脚本仍在加载...。所以这实际上需要一些时间来加载和消耗内存。你可以自己玩的东西。没有 LIBXML_NOENT 它可以完美且快速地工作。

但有一点需要注意，例如，如果您获取标签的 nodeValue，即使您不使用该加载标志，您也会扩展实体。

此问题的解决方法是从文档中删除 DocumentType 节点。请注意以下代码:

$doc = new DOMDocument();
$doc->loadXML($s); // where $s is a Quadratic attack xml string above.
// now remove the doctype node
foreach ($doc->childNodes as $child) {
    if ($child->nodeType===XML_DOCUMENT_TYPE_NODE) {
        $doc->removeChild($child);
        break;
    }
}
// Now the following is true:
assert($doc->doctype===NULL);
assert($doc->lastChild->nodeValue==='...');
// Note that entities remain unexpanded in the output XML
// This is not so good since this makes the XML invalid.
// Better is a manual walk through all nodes looking for XML_ENTITY_NODE
assert($doc->saveXML()==="<?xml version="1.0"?>\n<kaboom>&a;&a;&a;&a;&a;&a;&a;&a;&a;...</kaboom>\n");
// however, canonicalization will produce warnings because it must resolve entities
assert($doc->C14N()===False);
// Warning will be like:
//    PHP Warning:  DOMNode::C14N(): Node XML_ENTITY_REF_NODE is invalid here 

因此，虽然此变通办法可以防止 XML 文档在 DoS 中消耗资源，但它很容易生成无效的 XML。

一些数字(我减小了文件大小，否则花费的时间太长)(code):

LIBXML_NOENT disabled                                          LIBXML_NOENT enabled

Mem: 356 184 (Peak: 435 464)                                   Mem: 356 280 (Peak: 435 464)                             
Loaded file quadratic-blowup-2.xml into string.                Loaded file quadratic-blowup-2.xml into string.          
Mem: 368 400 (Peak: 435 464)                                   Mem: 368 496 (Peak: 435 464)                             
DOMDocument loaded XML 11 881 bytes in 0.001368 secs.          DOMDocument loaded XML 11 881 bytes in 15.993627 secs.   
Mem: 369 088 (Peak: 435 464)                                   Mem: 369 184 (Peak: 435 464)                             
Removed load string.                                           Removed load string.                                     
Mem: 357 112 (Peak: 435 464)                                   Mem: 357 208 (Peak: 435 464)                             
Got XML (saveXML()), length: 11 880                            Got XML (saveXML()), length: 11 165 132                  
Got Text (nodeValue), length: 11 160 314; 11.060893 secs.      Got Text (nodeValue), length: 11 160 314; 0.025360 secs. 
Mem: 11 517 776 (Peak: 11 532 016)                             Mem: 11 517 872 (Peak: 22 685 360)                       

到目前为止，我还没有决定保护策略，但现在知道将十亿笑声载入 PHPStorm will freeze it for example后来我停止了测试，因为我不想在写这篇文章时卡住它。