本测试 POC 源自Security: Libxslt arbitrary file reading using document() method and external entities。Libxslt 是 WebKit 浏览器(如 Chrome、Safari 等)中默认使用的 XSL 库。它允许在通过 XSL 的 document() 方法加载的文档中包含外部实体。攻击者可以绕过安全限制,从 http(s)://URL 访问 file://URL 并获取文件访问权限。在默认沙盒模式下,攻击者可以读取 iOS(Safari/Chrome)、Mac(Safari/Chrome)、Android(Chrome)上的 /etc/hosts 文件。当使用 -no-sandbox 属性(如 Electron/PhantomJS)时,攻击者可以在任何操作系统上读取任意文件。
如果访问页面后,在页面上输出了“file:///etc/passwd”或其他本地文件数据,则存在漏洞。
建议禁止对指定文件的读取访问,例如禁止从外部实体使用 "file://" URL。对于使用 Electron 的情况,建议升级 Chrome 内核到最新版本。