41、WEB攻防——通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计
文章目录
- XXE原理&探针&利用
- XXE读取文件
- XXE带外测试
- XXE实体引用
- XXE挖掘
- XXE修复
参考资料:CTF XXE
(图片来源网络,侵删)XXE原理&探针&利用
XXE用到的重点知识是XML,XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE(XML External Entity Injection,即xml外部实体注入漏洞),XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取(主要)、内网端口扫描、攻击内网网站等危害。
XML和HTML的主要差异:
文章版权声明:除非注明,否则均为主机测评原创文章,转载或复制请以超链接形式并注明出处。
还没有评论,来说两句吧...