XXE-实体注入
XML外部实体注入攻击:用户输入的数据当作XML外部实体代码进行执行
XML的宗旨传输数据与html相像 没有预定义
eg:<fenshu>xiaoming</fenshu>
产生漏洞-》外部实体(加载外部的内容-》发起了网络请求(本地请求))
利用XML的外部实体去访问内容王访问本机访问本机的文件
php中simplexml_load_string 函数用来处理xml
XXE-实体注入
XML外部实体注入攻击:用户输入的数据当作XML外部实体代码进行执行
XML的宗旨传输数据与html相像 没有预定义
eg:<fenshu>xiaoming</fenshu>
产生漏洞-》外部实体(加载外部的内容-》发起了网络请求(本地请求))
利用XML的外部实体去访问内容王访问本机访问本机的文件
php中simplexml_load_string 函数用来处理xml