Web安全漏洞及代码审计（第2版）（微课版）课件 【ch08】靶机XML外部实体注入漏洞与审计.pptx

靶机XML外部实体注入漏洞与审计项目8Web安全漏洞及代码审计（第2版）（微课版）

01项目知识准备

项目知识准备01XML外部实体注入主要是应用程序在解析XML输入时，允许对外部恶意实体类进行解析所引发的安全问题，可以造成任意文件读取、命令执行、端口检测等攻击。漏洞介绍一基础知识二1．XML文档XML是可扩展标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。而HTML是超文本标记语言，其中的标签是固定的，可以使用标签来操作。XML文档代码如下：

项目知识准备01基础知识二1．XML文档首先是XML声明，也可以将这个声明简单地写为?xml?，或者包含XM