PHP XXE 注入漏洞允许攻击者访问配置文件和私钥

文章预览

Web 应用程序安全研究员 Aleksandr Zhurnakov 详细揭示了 PHP 中新发现的 XML 外部实体（XXE）注入漏洞。 该漏洞展示了攻击者如何绕过多种安全机制，进而访问敏感配置文件和私钥，凸显了即便在看似安全的实现中，不当的 XML 解析配置也存在巨大风险。 此漏洞利用了 PHP 的 libxml 扩展及其包装器的组合，使攻击者能够绕过诸如 LIBXML_NONET、LIBXML_DTDLOAD 等限制标志以及其他标志。这些标志原本的作用是防止加载外部实体或访问外部资源，然而研究显示，攻击者可借助高级有效载荷和技术规避它们。 绕过安全机制 该漏洞源于 PHP 通过 DOMDocument 类处理 XML 解析的方式。默认状态下，外部实体加载处于禁用状态，但像 LIBXML_DTDLOAD 这样的特定标志，却允许攻击者加载恶意 DTD 文件。随后，攻击者可利用 php://filter 等 PHP 包装器制作这些文件，以窃取诸如 /etc/passwd 或 ………………………………