XXE
- XXE漏洞产生原因
XXE漏洞:XML外部实体注入漏洞;应用程序解析XML输入时,没有对上传的XML文件内容进行过滤,没有禁止外部实体的加载,导致可以加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、DOS攻击等。 - XXE与HTML
XML是可扩展标记语言、重点在传输数据和存储数据,HTML是展示数据。 - XXE文档构建模块
元素、属性、实体、PCDATA、CDATA
1、XML声明
2、DTD文档类型定义
3、文档元素 - 实体
实体是用来定义普通文本的变量。实体引用时对实体的引用。
实体分为一般实体和参数实体。
1、一般实体:声明方式;引用一般实体的方法:& 实体内容;
2、参数实体:声明方式: 引用参数实体的方法: %实体名称;
- DTD实体
DTD文档类型定义的作用是定义XML文档的合法构建模块。
DTD实体中,分为内部实体声明和外部实体声明。
- XXE漏洞可能存在地方
- XXE防御手段
1、禁用外部实体
2、对用户提交的XML数据进行过滤。
本文作者:予遂计划
本文链接:https://www.cnblogs.com/ysjh/p/18711962
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步