Comment se défendre contre les attaques d'entités externes XML (XXE) à l'aide de PHP-tutoriel php-php.cn

Comment se défendre contre les attaques d'entités externes XML (XXE) à l'aide de PHP

PHPz

Libérer： 2023-06-29 16:02:02

original

1330 Les gens l'ont consulté

Comment utiliser PHP pour se défendre contre les attaques d'entités externes XML (XXE)

Ces dernières années, avec la popularité d'Internet et l'augmentation de l'échange d'informations, les problèmes de sécurité des réseaux ont également reçu une attention croissante. Parmi eux, l’attaque d’entité externe XML (XXE) est une vulnérabilité de sécurité courante. Un attaquant pourrait exploiter cette vulnérabilité pour lire des informations sensibles sur le serveur ou mener d'autres attaques. Dans cet article, nous verrons comment utiliser PHP pour nous défendre contre les attaques d'entités externes XML.

Les attaques d'entités externes XML sont généralement menées via des fichiers XML malveillants. Les attaquants utilisent la référence d'entité et la déclaration d'entité en XML pour lire des fichiers arbitraires sur le système de fichiers et peuvent même lire des ressources externes via des URL distantes. Cette attaque est très efficace dans un analyseur XML non sécurisé, nous devons donc prendre des mesures pour empêcher cette attaque.

Voici quelques moyens de vous défendre contre les attaques d'entités externes XML à l'aide de PHP :

Utilisez l'option permettant de désactiver l'analyse des entités :
Dans l'analyseur XML de PHP, nous pouvons empêcher les attaques XXE en définissant l'option permettant de désactiver l'analyse des entités. Il convient de noter que si nous utilisons des références d'entité et des déclarations d'entité dans des fichiers XML pour représenter certaines entités prédéfinies (telles que les entités en HTML), la désactivation de l'analyse des entités peut provoquer des erreurs d'analyse.

Voici un exemple d'utilisation de l'option de résolution d'entité désactivée :

$dom = new DomDocument();
$dom->loadXML($xmlString, LIBXML_NOENT | LIBXML_NOERROR | LIBXML_NOWARNING);

Copier après la connexion

Filtrage des entrées :
La validation des entrées est une étape importante dans la défense contre les attaques XXE. Nous devons soigneusement vérifier si les fichiers XML fournis par l'utilisateur contiennent des références d'entités ou des déclarations d'entité malveillantes. Ceux-ci peuvent être inspectés et filtrés à l’aide d’expressions régulières ou d’autres méthodes de filtrage.

Par exemple, nous pouvons utiliser la fonction preg_replace() de PHP pour filtrer l'instruction <!ENTITY> en XML : preg_replace()函数来过滤掉XML中的<!ENTITY>声明：

$xmlString = preg_replace('/<!ENTITYs+S+s+SYSTEMs+"[^"]*">/', '', $xmlString);

Copier après la connexion

这样可以保证在解析XML之前，我们过滤掉了任何可能导致XXE攻击的<!ENTITY>声明。

使用白名单验证外部实体：
当我们知道XML文件中需要引用特定外部实体时，我们可以使用白名单机制来验证它。也就是说，我们只允许引用我们预先定义的外部实体，而拒绝引用其他外部实体。

例如，我们可以检查<!ENTITY>

$allowedEntities = [
    'http://example.com/file.xml',
    'file:///path/to/file.xml'
];

$xmlString = preg_replace_callback('/<!ENTITYs+(S+)s+SYSTEMs+"([^"]*)">/', function($matches) use ($allowedEntities) {
    if (!in_array($matches[2], $allowedEntities)) {
        // 非法的外部实体
        return '';
    }
    
    return $matches[0];
}, $xmlString);

Copier après la connexion

Cela peut garantir que lors de l'analyse XML Auparavant, nous filtrions toutes les instructions <!ENTITY> susceptibles de conduire à des attaques XXE.

Lorsque nous savons qu'une entité externe spécifique doit être référencée dans le fichier XML, nous pouvons utiliser le mécanisme de liste blanche pour la vérifier. Autrement dit, nous autorisons uniquement les références à des entités externes que nous avons prédéfinies et refusons les références à d'autres entités externes.

<!ENTITY>

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!