xxehacking-创新互联

漏洞成因:

站在用户的角度思考问题,与客户深入沟通,找到阿克苏网站设计与阿克苏网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:成都做网站、成都网站建设、企业官网、英文网站、手机端网站、网站推广、域名注册、网络空间、企业邮箱。业务覆盖阿克苏地区。

  XML 文件的解析依赖 libxml 库,而 libxml 2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的 xml 文件时未对 xml 文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理。

影响:

  常见的XML解析方法有:DOMDocument、SimpleXML、XMLReader,这三者都基于libxml库解析XML,所以均受影响,xml_parse函数则基于expact解析器,默认不载入外部DTD,不受影响。

修复:

 php解析xml文件之前使用libxml_disable_entity_loader(true) 来禁止加载外部实体。

***代码:

 

]>
&xxe;
EOF;

$xml = simplexml_load_string($xmlstring);

print_r($xml);
?>

xxe hacking

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


名称栏目:xxehacking-创新互联
网页路径:http://scjbc.cn/article/dphchh.html

其他资讯