XXE:
- XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,漏洞是对非安全的外部实体数据进行处理时引发的安全问题。要了解XXE,就必须懂得XML的一些规则。
- XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。
- XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素
XML:
- XML是The Extensible Markup Language(可扩展标识语言)的简写。
- XML最初的目的是弥补HTML的不足,后来逐渐用于网络数据的转换和描述。
- XML的设计宗旨是传输数据,不是显示数据。
- XML在web中的应用已十分广泛。
- XML是各种应用程序之间数据传输最常用的工具。
- 与HTML的区别在于一个被设计用来展示数据,一个用来传输数据
xml实体(ENTITY):
- 在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。
- 根据实体的来源我们可以分为内部实体和外部实体。
- XML定义了两种类型的ENTITY,一种