简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
Rumah
Artikel
Soal Jawab
Kursus
Topik
Muat turun
Permainan
Kamus
kemas kini terkini

Rumah  >  Artikel  >  pembangunan bahagian belakang  >  Bagaimanakah PHP mempertahankan daripada penghuraian XML berniat jahat dan serangan entiti?

Bagaimanakah PHP mempertahankan daripada penghuraian XML berniat jahat dan serangan entiti?

PHPz
PHPzasal
2023-06-30 09:49:38765semak imbas

Cara menggunakan PHP untuk mempertahankan diri daripada penghuraian XML berniat jahat dan serangan entiti luaran XML

Pengenalan:
Memandangkan ancaman keselamatan rangkaian terus meningkat, keperluan untuk melindungi aplikasi daripada serangan berniat jahat menjadi semakin mendesak. XML (Extensible Markup Language), format pertukaran data yang popular, ialah sumber input biasa untuk aplikasi web. Walau bagaimanapun, terdapat beberapa risiko keselamatan dalam penghuraian XML, seperti penghuraian XML berniat jahat dan serangan Entiti Luar XML (XXE). Artikel ini akan menumpukan pada cara menggunakan PHP untuk bertahan daripada kedua-dua jenis serangan ini.

1. Pertahanan serangan penghuraian XML berniat jahat
Serangan penghuraian XML berniat jahat merujuk kepada penyerang yang menggunakan data XML yang dibina secara hasad untuk mencetuskan kelemahan dalam penghurai XML, dengan itu melaksanakan kod hasad atau mendapatkan maklumat sensitif. Berikut ialah beberapa pertahanan:

  1. Gunakan penghurai XML yang selamat: Pilih untuk menggunakan penghurai XML yang diaudit dan dikemas kini, seperti sambungan SimpleXML dan DOM terbina dalam PHP. Penghurai ini diuji dan mempunyai kelemahan yang diketahui telah diperbaiki.
  2. Hadkan penghuraian entiti penghurai XML: Lumpuhkan fungsi penghuraian entiti sebelum menghuraikan XML. Ini boleh dicapai menggunakan coretan kod seperti ini: 
libxml_disable_entity_loader(true);

Ini akan menghalang penghurai XML daripada memuatkan entiti luaran, sekali gus mengurangkan risiko serangan XXE.

  1. Pengesahan dan penapisan input: Untuk data XML yang diperoleh daripada input pengguna, pengesahan dan penapisan yang ketat diperlukan. Pastikan anda hanya menerima format data yang sah dan melepaskan aksara khas dalam input untuk mengelakkan suntikan data berniat jahat.
  2. Kawalan akses fail yang ketat: Hadkan hak akses kepada dokumen XML untuk memastikan hanya pengguna atau peranan yang sah boleh mengakses. Ini boleh dicapai melalui senarai kawalan akses (ACL) sistem fail atau menggunakan fungsi kebenaran fail PHP.

2. Pertahanan serangan Entiti Luar XML (XXE)
Serangan entiti luaran XML ialah serangan yang menggunakan ciri-ciri penghurai XML untuk membaca fail sistem atau membuat permintaan jauh. Berikut ialah beberapa langkah pertahanan:

  1. Lumpuhkan penghuraian entiti luaran: Sebelum menghuraikan XML, anda boleh melumpuhkan penghuraian entiti luaran menggunakan coretan kod seperti ini: 
libxml_disable_entity_loader(true);

Ini akan menghalang penghurai XML daripada memuatkan entiti luaran, sekali gus menghalang XXE serangan.

  1. Gunakan senarai putih: hadkan entiti luaran yang boleh diakses oleh penyelesai. Anda boleh menggunakan coretan kod berikut untuk mencapai ini: 
$dom = new DOMDocument();
$dom->loadXML($xml);

$allowedExternalEntities = [
    'http://example1.com',
    'http://example2.com'
];

$dom->doctype->entities = null;
foreach ($dom->getElementsByTagNameNS('*', '*') as $element) {
    if ($element->isEntityNode()) {
        $systemId = $element->systemId;
        if (!in_array($systemId, $allowedExternalEntities)) {
            $element->parentNode->removeChild($element);
        }
    }
}

Kod di atas akan menggunakan senarai putih untuk menyemak entiti dalam XML dan mengalih keluar nod entiti yang tiada dalam senarai putih.

  1. Gunakan pengesahan XML: Gunakan Skema XML (XSD) atau DTD (Definisi Jenis Dokumen) untuk mengesahkan struktur data XML input. Dengan mengesahkan struktur XML, beberapa kod XML berniat jahat boleh dihapuskan.

Kesimpulan:
Adalah sangat penting untuk melindungi aplikasi web daripada serangan penghuraian XML berniat jahat dan serangan entiti luaran XML. Keselamatan aplikasi boleh diperkukuh dengan menggunakan penghurai XML selamat, melumpuhkan penghuraian entiti, pengesahan dan penapisan input, dan kawalan akses fail yang ketat. Selain itu, penggunaan senarai putih dan pengesahan XML juga merupakan cara yang berkesan untuk mempertahankan diri daripada serangan XXE. Ringkasnya, melalui langkah keselamatan yang munasabah, risiko penghuraian XML berniat jahat dan serangan XXE boleh dipertahankan dengan berkesan.

Atas ialah kandungan terperinci Bagaimanakah PHP mempertahankan daripada penghuraian XML berniat jahat dan serangan entiti?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

php xml simpleXML 数据结构 dom 网络安全
Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel sebelumnya:Analisis teknologi algoritma keselamatan PHPArtikel seterusnya:Analisis teknologi algoritma keselamatan PHP

Artikel berkaitan

Lihat lagi