XXE漏洞原理/防御

原理

XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 , 

比如读取任意文件 , 命令执行 , 内网探测 或者 DOS拒绝服务

防御

XXE的防御有两个方向 过滤 和 禁用

        过滤参数中的关键词<!DOCTYPE 和 <!ENTITY，或者SYSTEM和PUBLIC

        或者禁用外部实体引用

XML

XML用来传输数据 , 常用作配置文件

XML文档结果包括三部分

        XML声明
        DTD文档类型定义
        文档元素

DTD是一种XML约束模式语言,有三种应用形式

        内部DTD文档
        外部DTD文档
        内外部DTD文档结合

文章来源: blog.csdn.net，作者：士别三日wyx，版权归原作者所有，如需转载，请联系作者。

原文链接：blog.csdn.net/wangyuxiang946/article/details/118797832