Bagaimana untuk mempertahankan terhadap Serangan Entiti Luar XML (XXE) menggunakan PHP

Cara menggunakan PHP untuk mempertahankan diri daripada serangan entiti luaran XML (XXE)

Dalam beberapa tahun kebelakangan ini, dengan populariti Internet dan peningkatan dalam pertukaran maklumat, isu keselamatan rangkaian juga telah mendapat perhatian yang semakin meningkat. Antaranya, serangan entiti luaran XML (XXE) ialah kelemahan keselamatan yang biasa. Penyerang boleh mengeksploitasi kelemahan ini untuk membaca maklumat sensitif pada pelayan atau melakukan serangan selanjutnya. Dalam artikel ini, kita akan membincangkan cara menggunakan PHP untuk mempertahankan diri daripada serangan entiti luaran XML.

Serangan entiti luaran XML biasanya dilakukan melalui fail XML yang direka bentuk secara berniat jahat. Penyerang menggunakan Rujukan Entiti dan Pengisytiharan Entiti dalam XML untuk membaca fail sewenang-wenangnya pada sistem fail, malah boleh membaca sumber luaran melalui URL jauh. Serangan ini sangat berkesan dalam penghurai XML yang tidak selamat, jadi kita perlu mengambil langkah untuk mencegah serangan ini.

Berikut ialah beberapa cara untuk mempertahankan diri daripada serangan entiti luaran XML menggunakan PHP:

1. Gunakan pilihan untuk melumpuhkan penghuraian entiti:
   Dalam penghurai XML PHP, kami boleh menghalang serangan XXE dengan menetapkan pilihan untuk melumpuhkan penghuraian entiti. Perlu diingat bahawa jika kami menggunakan rujukan entiti dan pengisytiharan entiti dalam fail XML untuk mewakili beberapa entiti yang dipratentukan (seperti entiti dalam HTML), melumpuhkan penghuraian entiti boleh menyebabkan ralat penghuraian.

Berikut ialah contoh menggunakan pilihan resolusi entiti orang kurang upaya:

$dom = new DomDocument();
$dom->loadXML($xmlString, LIBXML_NOENT | LIBXML_NOERROR | LIBXML_NOWARNING);

2. Input penapisan:
   Pengesahan input ialah langkah penting dalam mempertahankan diri daripada serangan XXE. Kita hendaklah menyemak dengan teliti sama ada fail XML yang dibekalkan pengguna mengandungi rujukan entiti berniat jahat atau pengisytiharan entiti. Ini boleh diperiksa dan ditapis menggunakan ungkapan biasa atau kaedah penapisan lain.

Sebagai contoh, kita boleh menggunakan fungsi preg_replace() PHP untuk menapis keluar kenyataan <!ENTITY> dalam XML: preg_replace()函数来过滤掉XML中的<!ENTITY>声明：

$xmlString = preg_replace('/<!ENTITYs+S+s+SYSTEMs+"[^"]*">/', '', $xmlString);

这样可以保证在解析XML之前，我们过滤掉了任何可能导致XXE攻击的<!ENTITY>声明。

3. 使用白名单验证外部实体：
   当我们知道XML文件中需要引用特定外部实体时，我们可以使用白名单机制来验证它。也就是说，我们只允许引用我们预先定义的外部实体，而拒绝引用其他外部实体。

例如，我们可以检查<!ENTITY>

$allowedEntities = [
    'http://example.com/file.xml',
    'file:///path/to/file.xml'
];

$xmlString = preg_replace_callback('/<!ENTITYs+(S+)s+SYSTEMs+"([^"]*)">/', function($matches) use ($allowedEntities) {
    if (!in_array($matches[2], $allowedEntities)) {
        // 非法的外部实体
        return '';
    }
    
    return $matches[0];
}, $xmlString);

Ini boleh memastikan bahawa apabila menghuraikan XML Sebelum ini, kami menapis keluar sebarang pernyataan <!ENTITY> yang boleh membawa kepada serangan XXE.

Gunakan senarai putih untuk mengesahkan entiti luaran:

Apabila kami mengetahui bahawa entiti luaran tertentu perlu dirujuk dalam fail XML, kami boleh menggunakan mekanisme senarai putih untuk mengesahkannya. Iaitu, kami hanya membenarkan rujukan kepada entiti luar yang telah kami tetapkan dan menafikan rujukan kepada entiti luar yang lain.


🎜Sebagai contoh, kami boleh menyemak sama ada laluan fail luaran yang dirujuk dalam pengisytiharan <!ENTITY> ada dalam senarai putih kami: 🎜rrreee🎜Kod di atas berfungsi dengan menyemak sama ada laluan fail luaran adalah dalam senarai putih untuk menghalang serangan XXE. 🎜🎜Ringkasan: 🎜Mempertahankan Serangan Entiti Luar XML (XXE) ialah tugas kritikal dalam pembangunan PHP. Kami boleh meningkatkan keselamatan sistem kami dengan melumpuhkan pilihan resolusi entiti, menapis input dan menggunakan pengesahan senarai putih. Adalah penting untuk berhati-hati semasa menulis dan menghuraikan fail XML, dan sentiasa berwaspada terhadap kelemahan keselamatan. 🎜

Atas ialah kandungan terperinci Bagaimana untuk mempertahankan terhadap Serangan Entiti Luar XML (XXE) menggunakan PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!