一、外部实体注入漏洞定义 外部实体注入漏洞(XML External Entity Injection,XXE)是针对应用程序解析 XML 输入类型的一种攻击。 攻击者利用未经严格安全控制的服务端 XML 解析过程,向其注入恶意 XML 数据。通过加载恶意外部实体,攻击者可以导致服务器执行恶意配置,从而造成安全问题 二、漏洞产生原因 漏洞产生
XXE漏洞相关知识 XXE全称为XML Enternal Entity Injection 中文叫xml外部实体注入 什么是xml 简单了解XML: (xml和html的区别可以简易的理解成:xml是用来储存数据和传输数据的而html是用来将数据展现出来) XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML
XXE漏洞初解 前置知识:XML和DTD 1.XML详解 XML 指可扩展标记语言(eXtensible Markup Language),这种标记语言是从标准通用标记语言(SGML)中简化修改出来的。它主要用到的有可扩展标记语言、可扩展样式语言(XSL)、XBRL和XPath等 1.1XML特点 XML 是一种很像HTML的标记语言 XML和HTML的差别: XML 被设计用来传输和