XXE白盒审计 PHP

XXE与XML注入的区别

https://www.cnblogs.com/websecurity-study/p/11348913.html

XXE又分为内部实体和外部实体。我简单区分为内部实体就是自己构造一个功能体，外部实体就是可以引入外部文件。

原理

服务器加载外部实体声明<!ENTITY 实体名称 SYSTEM "URI">，导致被入侵。如下用PHP语言举例。

PHP代码案例：

$xmlfile = file_get_contents("php://input"); // php://input 是个可以访问请求的原始数据的只读流。 获取客户端输入的内容
$dom = new DOMDocument(); // 初始化XML解析器
$dom->loadXML($xmlfile); // 加载客户端输入的XML内容
$xml = simplexml_import_dom($dom); // 获取XML文档节点，如果成功返回simpleXMLElement对象，如果失败返回Flase
$xxe = $xml->xxe; //获取simpleXMLElement对象中的节点 xxe
$str = "$xxe 
";
echo $str;

防止的XXE，一行代码解决：

检测

黑盒检查：
建议查看 https://www.cnblogs.com/mysticbinary/p/12668547.html

白盒检测：
查看代码里面是否使用了LodXML( )函数。

防护

// 在加载文档代码上面声明
libxml_disable_entity_loader(true);    //禁止使用外部实体

相关阅读:
定义全局时间过滤器
vue局部过滤器和全局过滤器
vue-ref指令
vue进行代码排序
vue-通过name进行数据过滤
将vue文档下载到本地预览
由于vue的for循环id并不严谨，提高id严谨性
vue指令v-for报错：Elements in iteration expect to have 'v-bind:key' directives.eslint-plugin-vue
FlowPortal BPM历史版本升级说明
102从 Outlook 中将电子邮件、联系人和日历导出到 .pst 文件

原文地址：https://www.cnblogs.com/mysticbinary/p/12569054.html