xxehacking

漏洞成因:

成都创新互联公司专注于企业全网整合营销推广、网站重做改版、疏附网站定制设计、自适应品牌网站建设、H5网站设计商城网站制作、集团公司官网建设、成都外贸网站建设、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为疏附等各大城市提供网站开发制作服务。

  XML 文件的解析依赖 libxml 库,而 libxml 2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的 xml 文件时未对 xml 文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理。

影响:

  常见的XML解析方法有:DOMDocument、SimpleXML、XMLReader,这三者都基于libxml库解析XML,所以均受影响,xml_parse函数则基于expact解析器,默认不载入外部DTD,不受影响。

修复:

  php解析xml文件之前使用libxml_disable_entity_loader(true) 来禁止加载外部实体。

***代码:

 

]>
&xxe;
EOF;

$xml = simplexml_load_string($xmlstring);

print_r($xml);
?>

xxe hacking


本文标题:xxehacking
文章起源:http://myzitong.com/article/pojjjs.html