2023 Web基础:XXE漏洞原理与分析.pdfVIP

  • 0
  • 0
  • 约3.46千字
  • 约 15页
  • 2026-07-07 发布于北京
  • 举报

XXE(XML外部实体注入,XMLExternalEntity):在应用程序解析XML输入时,当允许外部实体时,可构造内容,导

致任意文件、探测内网端口、内网、执行系统命令等。

是我们输入的代码,会被当做xml的代码执行

典型的如下

定义实体必须写在DTD部分

什么是XML?

XML指可扩展标记语言(EXtensibleMarkupLanguage)

XML是一种标记语言,很类似HTML

XML的设计是传输数据,而非显示数据

XML没有被预定义。您需要自行定义。

XML被设计为具有自我描述性。

XML是W3C的推荐

特点:

XML仅仅是纯文本,他不会做任何事情。

XML可以自己发明(允许定义自己的和文档结构)

XML无所不在。XML是各种应用程序之间进行数据传输的最常用的工具,并且在信息和描

述领域变得越来越流行。

这个东西就是个数据的

XML实体是在XML文档中表示数据项的式,而不是使用数据本身。各种实体内置于XML语言的规范中。例如,实

体;并且;表示字符和。这些是用于表示XML标记的元字符,因此当它们出现在数据中时,通常必须使用它们

的实体来表示。

什么是XML元素

元素类

文档评论(0)

1亿VIP精品文档

相关文档