目录
一、xml语言介绍
XML 用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自 己的标记语言进行定义的源语言。XML 文档结构包括 XML 声明、 DTD 文档类型定义(可选)、文档元素XMl 被设计用来传输和存储数据。 XML 文档形成了一种树状结构,它从 " 根部 " 开始,然后扩展到 " 枝叶 " 。XMl 允许作者定义自己的标签和自己的文档结构。XML 被设计用来传输和存储数据。HTML 被设计用来显示数据<?xml version="1.0"?><!DOCTYPE note [<!-- 定义此文档是 note 类型的文档 --><!ELEMENT note (nuc,edu)><!-- 定义 note 元素有四个元素 --><!ELEMENT nuc (#PCDATA)><!-- 定义 to 元素为 ”#PCDATA” 类型 --><!ELEMENT edu (#PCDATA)><!-- 定义 from 元素为 ”#PCDATA” 类型 -->]><note><nuc>hello</nuc> // 文档元素<edu>world</edu></note>
1.XML的实体
所以出现了实体Entity来解决这个问题 实体Entity是一种简单的存储单元就好比xml变量一样可以对它进行赋值﹐并在xml文档中不同的地方对他引用。实体在XML文档中的文档类型定义部分(DTD)被单独定义描述。
2.XML实体的分类
1.内部实体
扫描二维码关注公众号,回复: 15387464 查看本文章
2.外部实体
内部实体就相当于自己编写DTD内容,而外部实体就相当于引入外部的DTD内容
详细请看大佬文章
二、XXE漏洞介绍
XXE全称为XML External Entity Injection即XMl外部实体注入漏洞
1.XXE漏洞的原理
XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
2.XEE漏洞的危害
任意文件读取、系统命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害
3.漏洞防范
1、禁止使用外部实体,例如libxml disable_entity_loader(true) 。
2、过滤用户提交的XML数据,防止出现非法内容。