xml读取任意文件漏洞及补救 - 网站安全 - 自学p

刚才在某黑阔论坛转了一圈，发现了xml读取任意文件漏洞结果突然想起之前dz的xmlgetshell啊之类的，感觉这个危害有点大。所以在这里发出来下。使用php+xml,只要有权限可以读取任何文件，

simple_xml_string 和 xml_parse 还有DOMDocument，这三个使用的处理方式不一样

根据php官方网站上的提示，第一个是使用libxml

而二个同样使用libxml

而第三个却使用了expat

libxml是支持对外部的文件进行解析的，而expat却不会解析外部文件

所以这就造成了expat在处理xml的时候比较安全，所以将simple_xml_string的函数换为xml_parse是比较安全的

摘自网络安全技术博客(http://www.0day.la)

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did12760

更新时间：2022-09-13 阅读：51次