Web的基本漏洞--XXE漏洞

大佬文章:(14条消息) 【web安全】——XXE漏洞快速入门_白昼安全的博客-CSDN博客

目录

1.XML的实体

2.XML实体的分类

详细请看大佬文章

二、XXE漏洞介绍

1.XXE漏洞的原理

2.XEE漏洞的危害

3.漏洞防范


一、xml语言介绍

XML 用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自 己的标记语言进行定义的源语言。XML 文档结构包括 XML 声明、 DTD 文档类型定义(可选)、文档元素
XMl 被设计用来传输和存储数据。 XML 文档形成了一种树状结构,它从 " 根部 " 开始,然后扩展到 " 枝叶 "
XMl 允许作者定义自己的标签和自己的文档结构。
XML 被设计用来传输和存储数据。
HTML 被设计用来显示数据
 
定义此文档是 note 类型的文档 -->
]>
hello // 文档元素
world

1.XML的实体

所以出现了实体Entity来解决这个问题 实体Entity是一种简单的存储单元就好比xml变量一样可以对它进行赋值﹐并在xml文档中不同的地方对他引用。实体在XML文档中的文档类型定义部分(DTD)被单独定义描述。

2.XML实体的分类

1.内部实体

2.外部实体

内部实体就相当于自己编写DTD内容,而外部实体就相当于引入外部的DTD内容

详细请看大佬文章

 (14条消息) XML 教程(一文彻底搞懂XML)_骑摩托的蜗牛的博客-CSDN博客

二、XXE漏洞介绍

 XXE全称为XML External Entity InjectionXMl外部实体注入漏洞

1.XXE漏洞的原理

 XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。

2.XEE漏洞的危害

任意文件读取、系统命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 

3.漏洞防范

   1、禁止使用外部实体,例如libxml disable_entity_loader(true) 。

   2、过滤用户提交的XML数据,防止出现非法内容。

你可能感兴趣的:(#,漏洞篇,安全,web安全)