XML外部实体注入,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。
代码漏洞分析:
1.使用file_get_contents获取客户端输入的内容;
2.使用new DOMDocument()初始化XML解析器;
3.使用loadXML(
x
m
l
f
i
l
e
)
加
载
客
户
端
输
入
的
X
M
L
内
容
;
4.
使
用
S
i
m
p
l
e
x
m
l
i
m
p
o
r
t
d
o
m
(
xmlfile)加载客户端输入的XML内容; 4.使用Simplexml_import_dom(
xmlfile)加载客户端输入的XML内容;4.使用Simplexmlimportdom(dom)获取XML文档节点,如果成功则返回SimpleXMLElement对象,如果失败则返回false。
5.获取SimpleXMLElement对象的节点XXE,然后输出XXE的内容。
代码中没有限制XML引入外部实体,创建一个包含外部实体的XML时,外部实体的内容就会被执行。
列如:
在数据包中的XML添加:
]>
$b;
在POST参数中,关键语句为"file///C:/windows/win.ini",该语句的作用是通过file协议读取本地文件C://windows/win.ini。
修复建议:
禁止使用外部实体,如libxml_disable_entity_loader(true)
过滤用户提交的XML数据,防止出现非法内容。