XXE

1、XXE

1.1 XXE概述

(1)xml格式

 

 (2)DTD:文档类型定义,用来为xml文档定义语义约束

 

 (3)外部实体引用payload:

 

 (4)simplexml_load_string():

  函数转换形式良好的xml字符串为simplexmlElement对象

  在php里边解析xml用libxml库,但是其在版本>=2.9.0的版本中,默认禁止解析外部实体的xml内容

1.2 XEE实验过程

(1)

<?xml version = "1.0"?>
<!DOCTYPE note [
<!ENTITY hacker "ESHLkangi">
]>
<name>&hacker;</name>

 

posted @ 2020-03-30 15:35  pangsong666  阅读(371)  评论(0编辑  收藏  举报