Tengo un código PHP que utiliza la función loadXML (así como otras funciones XML).
-
¿La función loadXML es vulnerable al ataque XXE? A saber, si el XML contiene entidades externas, ¿se interpretarán?
-
¿Esta función es vulnerable a otros ataques basados en XML? Por ejemplo, el ataque DoS de Billion Laughs?
-
¿Puede referirme a una lista de funciones que son vulnerables a XXE y a otros ataques relacionados con XML?
Sé que es posible bloquear fácilmente los ataques XXE en PHP cambiando la configuración. Sin embargo, me complacerá recibir respuestas a las preguntas que formulé.