PHP XXE 审计（php-xxe-audit）

分析 PHP 项目源码，识别 XXE（XML External Entity）风险：当 XML 解析点允许外部实体/DOCTYPE，且 XML 输入可控、并存在回显或 OOB 通道时，可能导致文件读取/SSRF/DoS。

分级与编号

• 详见：shared/SEVERITY_RATING.md
• 漏洞编号：{C/H/M/L}-XXE-{序号}

XXE Sink（必做）

识别 XML 解析相关：

• DOMDocument->loadXML/loadHTML
• simplexml_load_string/simplexml_load_file
• XMLReader->open/xml
• DOMDocument->load（若内容来自用户可控字符串/流） 危险模式：
• 未禁用外部实体/未限制网络访问
• 解析参数允许 DOCTYPE

防护检查（必做）

必须输出解析器防护证据：

• libxml 安全参数：LIBXML_NONET、LIBXML_NOENT（注意：NOENT 可能放大风险）、LIBXML_DTDLOAD 等使用情况
• 是否使用：libxml_disable_entity_loader(true)（不同 PHP 版本策略不同，仍需给证据）
• 解析时是否传入安全选项并禁用网络访问

输入来源与回显（必做）

必须分别输出：

• XML 输入来源：$_POST/php://input/上传文件流等
• 回显路径：是否把解析结果写回响应（echo/模板输出）或仅 Blind（OOB）。

tracer 触发条件（必做）

• XML 经过多层传递/解析后字段再输出
• 回显位置不清晰或在工具类中

证据引用（强制：来自 php-route-tracer）

每条 XXE 疑似漏洞必须逐项引用 trace 输出中 ## 9) Sink Evidence Type Checklist 的 XXE 行对应证据要点（允许状态为待验证，但证据引用必须存在）：

1. EVID_XXE_PARSER_CALL：XML 解析器调用点位置证据（DOMDocument->loadXML/simplexml_load_string/XMLReader->open 等）
2. EVID_XXE_INPUT_SOURCE：输入流来源证据（$_POST/php://input/上传读取/参数进入解析的对应证据）
3. EVID_XXE_ENTITY_DOCTYPE_SAFETY_AND_ECHO：外部实体/DOCTYPE 禁用相关安全选项证据（LIBXML_* 或禁用策略）以及解析结果回显位置证据

tracer 证据缺失处理（强制）

• 若无法定位上述 1~3 任一关键证据要点：该漏洞状态只能标记为 ⚠️待验证，不得直接给出 ✅已确认可利用。

报告输出

输出到：

{output_path}/vuln_audit/xxe_{timestamp}.md