5

要求:当我将以下请求传递给我的应用程序时,

1)如何对这样的输入xml进行XML验证,这是有风险的

2) 如何在 libxml2 中禁用 XXE 即不应该解析 ENTITY 字段

<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY foo SYSTEM "file:///etc/issue">
]><TRANSACTION>
<FUNCTION_TYPE>LINE_ITEM</FUNCTION_TYPE>
<COMMAND>ADD</COMMAND>
<COUNTER>3</COUNTER>
<MAC>qof2EtycqT9YMcmOfKowpyXVbRpgM/7rncS3liK4JOs=</MAC>
<MAC_LABEL>P_206</MAC_LABEL>
<RUNNING_TAX_AMOUNT>0.00</RUNNING_TAX_AMOUNT>
<RUNNING_TRANS_AMOUNT>1.00</RUNNING_TRANS_AMOUNT>
<LINE_ITEMS>
<MERCHANDISE>
<LINE_ITEM_ID>1</LINE_ITEM_ID>
<DESCRIPTION>&foo;</DESCRIPTION>
<QUANTITY>1</QUANTITY>
<UNIT_PRICE>5.00</UNIT_PRICE>
<EXTENDED_PRICE>5.00</EXTENDED_PRICE>
</MERCHANDISE>
</LINE_ITEMS>
</TRANSACTION>

我了解从 libxml2 2.9 版开始,默认情况下禁用 XXE。但我们目前使用的是 2.7.7 版本。

根据此链接XML_ENTITY_PROCESSING

Enum xmlParserOption 不应在 libxml2 中定义以下选项:

XML_PARSE_NOENT:扩展实体并用替换文本替换它们 XML_PARSE_DTDLOAD:加载外部 DTD

到目前为止,我一直在使用xmlParseMemory函数来解析 XML 内存块并构建一棵树。该函数不带任何参数来设置 xmlParserOption。

然后我改为xmlReadMemory函数,它也与函数做同样的事情,xmlParseMemory但采用不同的参数。

docPtr = xmlReadMemory(szXMLMsg, iLen, "noname.xml", NULL, XML_PARSE_RECOVER);

我仍然观察到 ENTITY 字段正在被解析。有人可以帮我吗?如果您需要更多其他信息,请告诉我。

感谢您的时间。

问候

普拉文

4

1 回答 1

3

如果您指定XML_PARSE_NOENTENTITY则仍会解析声明,但不会替换实体。此外,文件/etc/issue不会被打开,您可以使用strace. 因此,为了防止 XXE,您只需不传递 XML_PARSE_NOENT解析器选项。

该选项的名称有点误导,XML_PARSE_NOENT意味着不应在已解析的文档中创建实体节点。因此,每个实体都被扩展。更好的名字应该是XML_PARSE_EXPAND_ENTITIES.

如果你真的想确定或者你想通过细粒度控制加载哪些 URL 来扩展实体,你可以使用xmlSetExternalEntityLoader. 如果您的处理程序总是返回 NULL,那么您是安全的。但请注意,外部实体加载器用于加载各种外部资源,因此完全禁用它可能会破坏其他内容(例如 XIncludes 或 XSLT 样式表)。

编辑:我不知道为什么在你的情况下替换实体。这是一个测试程序:

#include <stdio.h>
#include <stdlib.h>
#include <libxml/parser.h>
#include <libxml/tree.h>

static xmlNodePtr
find_node(xmlNodePtr parent, const char *name) {
    for (xmlNodePtr cur = parent->children; cur != NULL; cur = cur->next) {
        if (cur->type == XML_ELEMENT_NODE
            && xmlStrcmp(cur->name, (const xmlChar*)name) == 0
        ) {
            return cur;
        }
    }

    fprintf(stderr, "Element '%s' not found\n", name);
    abort();

    return NULL;
}

int
main(int argc, char **argv) {
    static const char buf[] =
        "<?xml version=\"1.0\"?>\n"
        "<!DOCTYPE foo [\n"
        "<!ENTITY foo SYSTEM \"file:///etc/issue\">\n"
        "]><TRANSACTION>\n"
        "<FUNCTION_TYPE>LINE_ITEM</FUNCTION_TYPE>\n"
        "<COMMAND>ADD</COMMAND>\n"
        "<COUNTER>3</COUNTER>\n"
        "<MAC>qof2EtycqT9YMcmOfKowpyXVbRpgM/7rncS3liK4JOs=</MAC>\n"
        "<MAC_LABEL>P_206</MAC_LABEL>\n"
        "<RUNNING_TAX_AMOUNT>0.00</RUNNING_TAX_AMOUNT>\n"
        "<RUNNING_TRANS_AMOUNT>1.00</RUNNING_TRANS_AMOUNT>\n"
        "<LINE_ITEMS>\n"
        "<MERCHANDISE>\n"
        "<LINE_ITEM_ID>1</LINE_ITEM_ID>\n"
        "<DESCRIPTION>&foo;</DESCRIPTION>\n"
        "<QUANTITY>1</QUANTITY>\n"
        "<UNIT_PRICE>5.00</UNIT_PRICE>\n"
        "<EXTENDED_PRICE>5.00</EXTENDED_PRICE>\n"
        "</MERCHANDISE>\n"
        "</LINE_ITEMS>\n"
        "</TRANSACTION>\n";

    xmlDocPtr doc = xmlReadMemory(buf, sizeof(buf), "noname.xml", NULL,
                                  XML_PARSE_RECOVER);

    xmlNodePtr trans = find_node((xmlNodePtr)doc, "TRANSACTION");
    xmlNodePtr items = find_node(trans, "LINE_ITEMS");
    xmlNodePtr merch = find_node(items, "MERCHANDISE");
    xmlNodePtr desc  = find_node(merch, "DESCRIPTION");

    for (xmlNodePtr cur = desc->children; cur != NULL; cur = cur->next) {
        if (cur->type == XML_ENTITY_REF_NODE) {
            printf("entity ref node\n");
        }
        else {
            printf("other node of type: %d\n", cur->type);
        }
    }

    xmlFreeDoc(doc);

    return 0;
}

如果我编译

gcc -std=c99 -O2 -I/usr/include/libxml2 so.c -lxml2 -o so

并运行它,结果是

entity ref node
于 2014-04-08T14:48:18.000 回答