Web安全攻防实战教程_课件 第六章、其他漏洞.pptx

Web安全概述从漏洞分析到防御实践

目录01XXE漏洞02弱类型比较漏洞03命令注入漏洞04逻辑漏洞05总结与防御

XXE漏洞介绍XXE漏洞原理XML?档结构DTD与实体引??险XXE漏洞原理定义：XML外部实体注入漏洞，利用XML解析器未限制外部实体引用XML文档结构：根元素、元素嵌套、属性规则DTD与实体引用：内部实体（变量替换）、外部实体（引用外部资源）风险：读取本地文件、执行远程请求

XXE漏洞攻击过程01读取本地文件构造含file://协议的XML，读取/etc/passwd02HTTP访问文件引用http://资源获取文件内容03读取PHP源代码通过php://filter伪协议编