XXE

Posted on

简介

XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害

XML

用来进行数据的传输和存储,有标签构成
XML和HTML的区别:XML被设计用来传输和存储数据,HTML被设计用来显示数据
xml实体

基本结构
XML声明,DTD部分,XML部分

1
2
3
4
5
6
7
8
9
10
11
12
13
<?xml version=’1.0’?>	   // 声明XML解析器版本 
 
// 运用实体定义变量的写法 
// 即声明一个name变量,值为john
<!DOCTYPE person[         
<!ENTITY name “john”>      
]>				
 
// 引用一般实体的写法,格式为"&实体名称;"
<person>			      
<name>&name;</name>		   		
<age>20</age>
</person>