Web的基本漏洞--XXE漏洞

大佬文章：(14条消息) 【web安全】——XXE漏洞快速入门_白昼安全的博客-CSDN博客

目录

1.XML的实体

2.XML实体的分类

详细请看大佬文章

二、XXE漏洞介绍

1.XXE漏洞的原理

2.XEE漏洞的危害

3.漏洞防范

---

一、xml语言介绍

XML 用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自 己的标记语言进行定义的源语言。XML 文档结构包括 XML 声明、 DTD 文档类型定义（可选）、文档元素

XMl 被设计用来传输和存储数据。 XML 文档形成了一种树状结构，它从 " 根部 " 开始，然后扩展到 " 枝叶 " 。

XMl 允许作者定义自己的标签和自己的文档结构。

XML 被设计用来传输和存储数据。

HTML 被设计用来显示数据

 

定义此文档是 note 类型的文档 -->

]>

hello // 文档元素

world

1.XML的实体

所以出现了实体Entity来解决这个问题 实体Entity是一种简单的存储单元就好比xml变量一样可以对它进行赋值﹐并在xml文档中不同的地方对他引用。实体在XML文档中的文档类型定义部分(DTD)被单独定义描述。

2.XML实体的分类

1.内部实体

2.外部实体

内部实体就相当于自己编写DTD内容，而外部实体就相当于引入外部的DTD内容

详细请看大佬文章

 (14条消息) XML 教程（一文彻底搞懂XML）_骑摩托的蜗牛的博客-CSDN博客

二、XXE漏洞介绍

 XXE全称为XML External Entity Injection即XMl外部实体注入漏洞

1.XXE漏洞的原理

 XXE就是XML外部实体注入，当允许引用外部实体时， XML数据在传输中有可能会被不法分子被修改，如果服务器执行被恶意插入的代码，就可以实现攻击的目的攻击者可以通过构造恶意内容，就可能导致任意文件读取，系统命令执行，内网端口探测，攻击内网网站等危害。

2.XEE漏洞的危害

任意文件读取、系统命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 

3.漏洞防范

   1、禁止使用外部实体，例如libxml disable_entity_loader(true) 。

   2、过滤用户提交的XML数据，防止出现非法内容。