简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法

PHPz
リリース: 2023-06-29 16:02:02
オリジナル
1255 人が閲覧しました

PHP を使用して XML 外部エンティティ攻撃 (XXE) を防御する方法

近年、インターネットの普及と情報交換の増加に伴い、ネットワーク セキュリティの問題にも注目が集まっています。その中でも、XML 外部エンティティ攻撃 (XXE) は一般的なセキュリティ脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密情報を読み取ったり、さらなる攻撃を実行したりする可能性があります。この記事では、PHP を使用して XML 外部エンティティ攻撃を防御する方法について説明します。

XML 外部エンティティ攻撃は、通常、悪意を持って構築された XML ファイルを通じて実行されます。攻撃者は、XML のエンティティ参照とエンティティ宣言を使用して、ファイル システム上の任意のファイルを読み取り、リモート URL を介して外部リソースを読み取ることもできます。この攻撃は安全でない XML パーサーでは非常に有効であるため、この攻撃を防ぐための対策を講じる必要があります。

PHP を使用して XML 外部エンティティ攻撃を防御する方法をいくつか紹介します:

  1. エンティティ解析を無効にするオプションを使用します:
    PHP の XML パーサーでは、Set を渡すことができます。 XXE 攻撃を防ぐためにエンティティ解決を無効にするオプション。 XML ファイル内でエンティティ参照とエンティティ宣言を使用して、事前定義されたエンティティ (HTML 内のエンティティなど) を表す場合、エンティティ解析を無効にすると解析エラーが発生する可能性があることに注意してください。

次は、無効なエンティティ解決オプションの使用例です: 

$dom = new DomDocument();
$dom->loadXML($xmlString, LIBXML_NOENT | LIBXML_NOERROR | LIBXML_NOWARNING);
ログイン後にコピー
  1. 入力のフィルタリング:
    入力検証は、XXE 攻撃を防御するための重要な手順です。ユーザーが指定した XML ファイルに悪意のあるエンティティ参照またはエンティティ宣言が含まれているかどうかを注意深く確認する必要があります。これらは、正規表現または他のフィルタリング方法を使用して検査およびフィルタリングできます。

たとえば、PHP の preg_replace() 関数を使用して、XML の <!ENTITY> ステートメントを除外できます。 

$xmlString = preg_replace('/<!ENTITYs+S+s+SYSTEMs+"[^"]*">/', '', $xmlString);
ログイン後にコピー

これにより、XML を解析する前に、XXE 攻撃につながる可能性のある <!ENTITY> ステートメントが確実に除外されます。

  1. ホワイトリストを使用して外部エンティティを検証する:
    特定の外部エンティティを XML ファイル内で参照する必要があることがわかっている場合、ホワイトリスト メカニズムを使用してそれを検証できます。つまり、事前定義した外部エンティティへの参照のみを許可し、他の外部エンティティへの参照を拒否します。

たとえば、<!ENTITY> 宣言で参照されている外部ファイル パスがホワイトリスト リストに含まれているかどうかを確認できます。 

$allowedEntities = [
    'http://example.com/file.xml',
    'file:///path/to/file.xml'
];

$xmlString = preg_replace_callback('/<!ENTITYs+(S+)s+SYSTEMs+"([^"]*)">/', function($matches) use ($allowedEntities) {
    if (!in_array($matches[2], $allowedEntities)) {
        // 非法的外部实体
        return '';
    }
    
    return $matches[0];
}, $xmlString);
ログイン後にコピー

上記は、コード 外部ファイル パスがホワイトリストに含まれているかどうかを確認して、XXE 攻撃を防止します。

概要:
PHP 開発では、XML 外部エンティティ攻撃 (XXE) に対する防御が重要なタスクです。エンティティ解決オプションを無効にし、入力をフィルタリングし、ホワイトリスト検証を使用することで、システムのセキュリティを向上させることができます。 XML ファイルの作成と解析には注意し、セキュリティの脆弱性に常に注意を払うことが重要です。

以上がPHP を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
php xml 防衛 外部エンティティ攻撃 (xxe)
ソース:php.cn
前の記事:PHP でユーザー ログインと権限制御を実装するにはどうすればよいですか? 次の記事:PHP を使用して CAPTCHA とアンチボット技術のセキュリティを強化する方法
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
Laravel Spatieの権限設定方法を設定して、ロールに基づいて各ユーザーの権限のセットを定義するにはどうすればよいですか? 私のシステムには 4 種類のユーザーが使用しています: 1. スーパー管理者、2. チーム スーパー管理者、3. 管理者、および 4.チーム メンバーの管理では、ロールと権限の処理...
から 2023-11-14 12:58:58
0
1
292
JavaScript 正規表現を PHP に変換する この質問は何十回も寄せられていると思いますが、技術的には詐欺ではありません (必要に応じて他の質問も確認してください) ;) 基本的に、電子メール アドレスのフロントエンド検証をチ...
から 2023-10-23 22:58:33
0
2
394
CSRF について学ぶ 「チャレンジ トークン」を使用すると、どのような防止策が追加されるのかわかりません。どの値を何と比較する必要があるのでしょうか。 OWASP より: 一般的に、開発者は現在のセッシ...
から 2023-10-23 13:57:29
0
2
218
JavaScript または jQuery を使用して画像の自然な寸法を取得するにはどうすればよいですか? これまでのところ、私はこのコードを持っています: varimg=document.getElementById('draggable'); varwidth=img.clientW...
から 2023-10-21 13:53:08
0
2
275
背景画像変更時のちらつきを防ぐ方法 次のように、JavaScript を使用してキャンバスから div に繰り返し背景画像を適用しています。 varimg_canvas=document.createElement(...
から 2023-10-20 21:38:57
0
2
344
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!