【漏洞挖掘】——23、XXE漏洞挖掘刨析(上)

FLy_鹏程万里

已于 2024-06-04 17:54:20 修改

阅读量3.1k

点赞数 1

分类专栏：【WEB渗透】文章标签：渗透测试信息安全网络安全

于 2018-03-05 23:00:26 首次发布

本文链接：https://blog.csdn.net/fly_hps/article/details/79452019

版权

【WEB渗透】专栏收录该内容

164 篇文章 13 订阅 ¥29.90 ¥99.00

订阅专栏

本文深入探讨了XXE漏洞，详细解释了XML的基本定义、文档结构和实体声明，包括内部和外部实体声明。通过实例展示了XML声明、DTD文档类型定义以及实体引用方法，揭示了XXE漏洞可能带来的安全隐患，如敏感信息泄露。

摘要由CSDN通过智能技术生成

基本定义

XML(可扩展标记语言)是用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，它是一种允许用户对自己的标记语言进行定义的源语言，XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

文档结构

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素：

<!--XML声明-->
<?xml version="1.0"?>

<!--文档类型定义-->
<!DOCTYPE note [  						    <!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)>  	<!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>     				<!--定义to元素为"#PCDATA"类型-->
<!ELEMENT from (#PCDATA)>  					<!--定义from元素为"#PCDATA"类型-->
<!ELEMENT head (#PCDATA)>   				<!--定义head元素为"#PCDATA"类型-->
<!ELEMENT body (#PCDATA)>   				<!--定义body元素为"#PCDATA"类型-->
]>

<!--文档

了解本专栏