XXE

  • XXE漏洞产生原因
    XXE漏洞:XML外部实体注入漏洞;应用程序解析XML输入时,没有对上传的XML文件内容进行过滤,没有禁止外部实体的加载,导致可以加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、DOS攻击等。
  • XXE与HTML
    XML是可扩展标记语言、重点在传输数据和存储数据,HTML是展示数据。
  • XXE文档构建模块
    元素、属性、实体、PCDATA、CDATA

    1、XML声明
    2、DTD文档类型定义
    3、文档元素
  • 实体
    实体是用来定义普通文本的变量。实体引用时对实体的引用。
    实体分为一般实体和参数实体。
    1、一般实体:声明方式;引用一般实体的方法:& 实体内容;

    2、参数实体:声明方式: 引用参数实体的方法: %实体名称;
  • DTD实体
    DTD文档类型定义的作用是定义XML文档的合法构建模块。
    DTD实体中,分为内部实体声明和外部实体声明。
  • XXE漏洞可能存在地方

  • XXE防御手段
    1、禁用外部实体
    2、对用户提交的XML数据进行过滤。

本文作者:予遂计划

本文链接:https://www.cnblogs.com/ysjh/p/18711962

版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。

posted @   予遂计划  阅读(3)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示
💬
评论
📌
收藏
💗
关注
👍
推荐
🚀
回顶
收起
  1. 1 404 not found REOL
404 not found - REOL
00:00 / 00:00
An audio error has occurred.