XML实体注入漏洞 ,如何修复?

LauraOSC 发布于 2017/03/01 15:44
阅读 940
收藏 0
PHP

【开源中国 APP 全新上线】“动弹” 回归、集成大模型对话、畅读技术报告”

如果在 XML 文档中写入未验证的数据,可能会使攻击者修改 XML 的结构和内容。
漏洞代码:...
<?php $goodXML = $_GET["key"]; 
$doc = simplexml_load_string($goodXml); echo $doc->testing; ?>

加载中
0
宇润-非洲black鬼人人得而诛之
宇润-非洲black鬼人人得而诛之

用户提交的数据永远不可信。如果是单纯接收一个xml,再转为对象,不符合xml格式的simplexml_load_string会返回false。剩下的你就应该去检测对象里的属性和值是不是你规定的那样

LauraOSC
LauraOSC
感谢!
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部