目录
一、背景知识
XML和HTML语言都是编程语言,他们的区别是XML语言的标签可以自定义,HTML语言的标签只能用本来就有的。
二、原理
XXE全称为XML External Entity Injection即XMl外部实体注入漏洞
XXE漏洞触发点往往是可以上传xml文件的位置,没有对xml文件进行过滤,导致可加载恶意外部文件和代码,造成任意文件读取,命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害
通过外部实体有回显地读取本地敏感文件。
三、利用
用bp抓包,把写好的XML语句放进包里面。
四、防御
- 禁用外部实体解析
- 过滤'"<>/!等特殊符号
- 装WAF