検索
ホームページバックエンド開発PHPチュートリアルPHP を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法

PHP を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法

PHPz
PHPz
Jun 29, 2023 pm 02:31 PM
phpxml防衛外部エンティティ攻撃 (xxe)

PHP を使用して XML 外部エンティティ攻撃 (XXE) を防御する方法

近年、インターネットの普及と情報交換の増加に伴い、ネットワーク セキュリティの問題にも注目が集まっています。その中でも、XML 外部エンティティ攻撃 (XXE) は一般的なセキュリティ脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上の機密情報を読み取ったり、さらなる攻撃を実行したりする可能性があります。この記事では、PHP を使用して XML 外部エンティティ攻撃を防御する方法について説明します。

XML 外部エンティティ攻撃は、通常、悪意を持って構築された XML ファイルを通じて実行されます。攻撃者は、XML のエンティティ参照とエンティティ宣言を使用して、ファイル システム上の任意のファイルを読み取り、リモート URL を介して外部リソースを読み取ることもできます。この攻撃は安全でない XML パーサーでは非常に有効であるため、この攻撃を防ぐための対策を講じる必要があります。

PHP を使用して XML 外部エンティティ攻撃を防御する方法をいくつか紹介します:

  1. エンティティ解析を無効にするオプションを使用します:
    PHP の XML パーサーでは、Set を渡すことができます。 XXE 攻撃を防ぐためにエンティティ解決を無効にするオプション。 XML ファイル内でエンティティ参照とエンティティ宣言を使用して、事前定義されたエンティティ (HTML 内のエンティティなど) を表す場合、エンティティ解析を無効にすると解析エラーが発生する可能性があることに注意してください。

次は、無効なエンティティ解決オプションの使用例です: 

$dom = new DomDocument();
$dom->loadXML($xmlString, LIBXML_NOENT | LIBXML_NOERROR | LIBXML_NOWARNING);
  1. 入力のフィルタリング:
    入力検証は、XXE 攻撃を防御するための重要な手順です。ユーザーが指定した XML ファイルに悪意のあるエンティティ参照またはエンティティ宣言が含まれているかどうかを注意深く確認する必要があります。これらは、正規表現または他のフィルタリング方法を使用して検査およびフィルタリングできます。

たとえば、PHP の preg_replace() 関数を使用して、XML の ステートメントを除外できます。 

$xmlString = preg_replace('/<!ENTITYs+S+s+SYSTEMs+"[^"]*">/', '', $xmlString);

これにより、XML を解析する前に、XXE 攻撃につながる可能性のある ステートメントが確実に除外されます。

  1. ホワイトリストを使用して外部エンティティを検証する:
    特定の外部エンティティを XML ファイル内で参照する必要があることがわかっている場合、ホワイトリスト メカニズムを使用してそれを検証できます。つまり、事前定義した外部エンティティへの参照のみを許可し、他の外部エンティティへの参照を拒否します。

たとえば、 宣言で参照されている外部ファイル パスがホワイトリスト リストに含まれているかどうかを確認できます。 

$allowedEntities = [
    'http://example.com/file.xml',
    'file:///path/to/file.xml'
];

$xmlString = preg_replace_callback('/<!ENTITYs+(S+)s+SYSTEMs+"([^"]*)">/', function($matches) use ($allowedEntities) {
    if (!in_array($matches[2], $allowedEntities)) {
        // 非法的外部实体
        return '';
    }
    
    return $matches[0];
}, $xmlString);

上記は、コード 外部ファイル パスがホワイトリストに含まれているかどうかを確認して、XXE 攻撃を防止します。

概要:
PHP 開発では、XML 外部エンティティ攻撃 (XXE) に対する防御が重要なタスクです。エンティティ解決オプションを無効にし、入力をフィルタリングし、ホワイトリスト検証を使用することで、システムのセキュリティを向上させることができます。 XML ファイルの作成と解析には注意し、セキュリティの脆弱性に常に注意を払うことが重要です。

以上がPHP を使用して XML 外部エンティティ攻撃 (XXE) から保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
関連記事
PHPアプリケーションをより速くする方法PHPアプリケーションをより速くする方法May 12, 2025 am 12:12 AM

tomakephpapplicationsfaster、followthesesteps:1)useopcodecachinglikeopcacheTostoredscriptbytecode.2)最小化abasequeriesecachingingindexing.3)leveragephp7機能forbettercodeefficiency.4)

PHP Performance Optimization Checklist:今すぐ速度を改善してくださいPHP Performance Optimization Checklist:今すぐ速度を改善してくださいMay 12, 2025 am 12:07 AM

PoldeSeptepsに続きます

PHP依存性インジェクション:コードのテスト可能性を改善しますPHP依存性インジェクション:コードのテスト可能性を改善しますMay 12, 2025 am 12:03 AM

依存性注入(DI)は、明示的に推移的な依存関係によりPHPコードのテスト可能性を大幅に改善します。 1)DI分離クラスと特定の実装により、テストとメンテナンスが柔軟になります。 2)3つのタイプのうち、コンストラクターは、状態を一貫性に保つために明示的な式依存性を注入します。 3)DIコンテナを使用して複雑な依存関係を管理し、コードの品質と開発効率を向上させます。

PHPパフォーマンスの最適化:データベースクエリの最適化PHPパフォーマンスの最適化:データベースクエリの最適化May 12, 2025 am 12:02 AM

DatabaseQueryoptimizationInpholvesseveralstrategESTOEnhancePerformance.1)selectonlynlynlyndorycolumnStoredatedataTransfer.2)useindexingtospeedupdataretrieval.3)revenmecrycachingtostoreres sultsoffrequent queries.4)

簡単なガイド:PHPスクリプトで電子メールを送信します簡単なガイド:PHPスクリプトで電子メールを送信しますMay 12, 2025 am 12:02 AM

phpisusededemingemailsduetoitsbuilt-inmail()functionandsupportiveLibrarieslikephpmailerandswiftmailer.1)usethemail()functionforbasicemails、butithaslimitations.2)emploadforadvancedfeatureSlikelikelivableabableabuses.3)雇用

PHPパフォーマンス:ボトルネックの識別と修正PHPパフォーマンス:ボトルネックの識別と修正May 11, 2025 am 12:13 AM

PHPパフォーマンスボトルネックは、次の手順で解決できます。1)パフォーマンス分析にXdebugまたはBlackfireを使用して問題を見つける。 2)データベースクエリを最適化し、APCUなどのキャッシュを使用します。 3)array_filterなどの効率的な関数を使用して、配列操作を最適化します。 4)bytecodeキャッシュ用のopcacheを構成します。 5)HTTP要求の削減や写真の最適化など、フロントエンドを最適化します。 6)パフォーマンスを継続的に監視および最適化します。これらの方法により、PHPアプリケーションのパフォーマンスを大幅に改善できます。

PHPの依存関係注射:簡単な要約PHPの依存関係注射:簡単な要約May 11, 2025 am 12:09 AM

依存関係(di)inphpisadesignpatternativats anducesclassodulencies、拡張測定性、テスト可能性、および維持可能性。

PHPパフォーマンスの向上:キャッシュ戦略と技術PHPパフォーマンスの向上:キャッシュ戦略と技術May 11, 2025 am 12:08 AM

cachingemprovesppperformancebystring of computationsorquickretrieval、還元装置の削減は、reducingerloadendenhancersponseTimes.efcectivestrategiesInclude:1)opcodecaching、compiledphpscriptsinmemorytoskipcompilation;

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

<🎜>:庭を育てる - 完全な突然変異ガイド
3週間前ByDDD
<🎜>:バブルガムシミュレーターインフィニティ - ロイヤルキーの取得と使用方法
3週間前By尊渡假赌尊渡假赌尊渡假赌
KB5055612を修正する方法Windows 10にインストールできませんか?
3週間前ByDDD
Nordhold:Fusion System、説明
3週間前By尊渡假赌尊渡假赌尊渡假赌
マンドラゴラ:魔女の木のささやき - グラップリングフックのロックを解除する方法
3週間前By尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

Dreamweaver Mac版

Dreamweaver Mac版

ビジュアル Web 開発ツール

MantisBT

MantisBT

Mantis は、製品の欠陥追跡を支援するために設計された、導入が簡単な Web ベースの欠陥追跡ツールです。 PHP、MySQL、Web サーバーが必要です。デモおよびホスティング サービスをチェックしてください。

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

SublimeText3 英語版

SublimeText3 英語版

推奨: Win バージョン、コードプロンプトをサポート!

もっと見る

ホットトピック

Java チュートリアル
1665
14
CakePHP チュートリアル
1423
52
Laravel チュートリアル
1321
25
PHP チュートリアル
1269
29
C# チュートリアル
1249
24
もっと見る