Web安全漏洞及代码审计（第2版）（微课版）备课教案 第八章 靶机XML外部实体注入漏洞与审计.docx

《Web安全漏洞及代码审计（第2版）（微课版）》课程教案

课题：靶机XML外部实体注入漏洞与审计

教学目的：

知识目标：使学习者掌握XML外部实体的基本概念、工作机制，理解XXE漏洞产生的根本原因——XML解析器配置不当导致外部实体加载。学习XXE漏洞的多种攻击手法，包括文件读取、SSRF、内网探测、盲注攻击等，理解不同攻击场景下的Payload构造方法。掌握XXE漏洞的修复方案，包括禁用外部实体、输入过滤、最小权限原则等核心防御措施。

能力目标：通过靶机环境实践，培养发现、验证和利用XXE漏洞的实际操作能力，掌握BurpSuite、OWASPZAP等工具的使用。培养代码审计思维，