一、认识XML和XXE
XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。
XML语法规则如下:
我们主要关注XML外部实体的定义和调用方式:
引用外部实体:
<!ENTITY 实体名称 SYSTEM "URI">
2024年04月18日
一、认识XML和XXE
XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。
XML语法规则如下:
我们主要关注XML外部实体的定义和调用方式:
引用外部实体:
<!ENTITY 实体名称 SYSTEM "URI">
Powered By
Copyright Your WebSite.Some Rights Reserved.