第41讲XXE漏洞简介XML基础85课件.pptxVIP

第41讲XXE漏洞简介，XML基础

任毅

Web

引言安全

u前面我们已经在DVWA平台下完成了低、高安全级别的CSRF实训，该平台下高安全级别增

加了安全验证，XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、

定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。

u(XMLExternalEntity，XXE)，XXE漏洞产生的原因是由于应用程序解析XML时，没有过

滤外部实体的加载，导致加载了恶意的外部文件，造成命令执行、文件读取、内网扫描、

内网应用攻击等危害。

Web

小测试安全

uXML有哪些缺点？

uXML需要处理应用程序。

uXML语法类似于另一种“基于文本”的数据传输格式，有时会令人困惑。

u无内在数据类型支持

uXML语法是多余的。

u不允许用户创建他的标签。

Web

学习目标安全

u能描述XXE漏洞的原理及XML基本语法

u能利用pikachu平台进行XXE漏洞利用

u提升信息安全意识

Web

XML基础安全

u可扩展标记语言（EXtensibleMarkupLanguage，XML），被设计用来结构化、存储以

及传输信息。

uXML文档结构包括三部分：XML声明、DTD文档类型定义（可选）、文档元素。

Web

安全

u（1）XML声明

u例如：?xmlversion=1.0encoding=ISO-8859-1?

uXML声明?开头，以?结束，version属性是必选，它定义XML的版本(1.0)encoding属

性是可选的，定义了XML进行解码时所用的字符集。

u（2）DTD文档类型定义

uDTD（DocumentTypeDefinition）文档类型定义，DTD用来约束一个XML文档的书写规范，

称之为XML约束。

u1）DTD基础语法!ELEMENT元素名类型

u2）内部定义

u!DOCTYPE根元素[元素声明]

u!DOCTYPEnote(第二行)定义此文档是note类型的文档。

u!ELEMENTnote(第三行)定义note元素有四个元素：to、from、heading,、body。

u!ELEMENTto(第四行)定义to元素为#PCDATA类型。

u!ELEMENTfrom(第五行)定义from元素为#PCDATA类型。

u!ELEMENTheading(第六行)定义heading元素为#PCDA