XML实体

最新推荐文章于 2024-01-09 14:59:51 发布
最新推荐文章于 2024-01-09 14:59:51 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: XML研究 文章标签: xml system 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyq32/article/details/1616496
版权

实体可以用以下3种方式分类:
1、通用实体和参数实体,通用实体(general entity)用于XML文档中,在文档中通过引用来生成文字数据或二进制数据;而参数实体(parameter entity)只能用于DTD中。
2、内部实体和外部实体,内部实体(internal entity)完全引用它的文档内定义;外部实(external entity)的内容则全部来源于外部文档。
3、解析实体和未解析实体,解析实体(parsed entity)的内容是规范的XML文本;未解析实体(unparsed entity)的内容为二进制数据,它不应该被XML处理器解析。

3种实体可以组合出8种实体,但实际上XML只用到5种形态:
1、通用内部解析实体
2、通用外部解析实体
3、通用外部未解析实体
4、参数内部解析实体
5、参数外部解析实体


1、通用内部解析实体
<!ENTITY alpha "α">

5个预定义实体:
&amp;    &
&apos;   '
&gt;     >
&lt;     <
&quot    "

实体可以嵌套

2、参数内部解析实体:
定义:
<!ENTITY % name "
<!ELEMENT ....>
....
">
引用:
%name;

3、通用外部解析实体
可以使用SYSTEM和PUBLIC关键字来进行宣告
<!ENTITY topic SYSTEM "topic.xml">
引用:&topic;

4、通用外部未解析实体
宣告格式:
<!ENTITY 实体名 SYSTEM 二进制数据位置 NDATA 标记名>
例:
<!ENTITY pic1 SYSTEM "mypic.jpg" NDATA JPEG>

标记的定义格式:
<!NOTATION 标记名 SYSTEM 标记描述文字>

可以是以下内容:
<!NOTATION JPEG SYSTEM "acdsee.exe">
<!NOTATION SOMEFORMAT SYSTEM "http://www.163.com>
<!NOTATION GIF SYSTEM "fdjskjfksjd">

5、参数外部解析实体
<!ENTITY % book_dec SYSTEM "book.dtd">
%book_dec;

 

lyq32
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务端安全之XML外部实体注入(XXE)
好记性不如烂笔头
10-14 917
1. 什么是XXE? XXE是XML external entity (XXE) injection 2. XXE是怎么发生的? XML规范中包含了一些不安全的特性,如果XML parser实现了这些特性,就存在安全隐患。XML external entity是一种自定义XML实体,其定义的值是从声明它们的DTD外部加载的。从安全性的角度来看,外部实体会存在潜在风险,因为它们允许根据文件路径或URL的内容定义实体。 3. XXE攻击的种类 3.1 利用XXE读取文件内容 为了实现这种攻击,有两种方式: (
XM语法大全(转载)
cyzhang1983的专栏
07-20 3475
Chapter 1. XML简介XML(eXtensible Markup Language,可扩展标记语言)是SGML的一个子集,但比SGML简单,用以创建可相互转换的结构化文本文档和数据文档。下面说明一下与XML相关的一些概念。 SGML(Standard Generalized Markup Language,标准通用标记语言
XML学习笔记 第二记
琴弦第七
06-18 1082
2012-08-07 1、XML实体可分为普通内部外部实体和内部外部参数实体。普通内部外部实体用在XML文档中,而内部外部参数实体用在DTD声明中。 2、DTD声明普通内部实体语法:,调用时用格式“&实体名;”。 3、DTD声明普通外部实体语法:,表示使用URI或者URL指向文件的全部内容替换实体名,比较少用,调用时用格式“&实体名;”。 4、DTD声明内部参数实体语法:,
【每天学习一点新知识】XXE(XML外部实体注入)从入门到放弃
RexHa的博客
10-29 2086
XML 指可扩展标记语言(EXtensibleMarkupLanguage)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。您需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML——XML介绍和基本语法_KLeonard的博客-CSDN博客_xml本文介绍了XML语言的历史,以及它的作用和常见的应用。重点介绍了XML文件的语法规则。
XML实体攻击
05-11
XML实体攻击相关介绍,学习好了会有相当大的用处!毕竟很少有地方关注这里!
XML转任意实体
10-09
XML转任意实体,C#实现XML转任意实体,经过测试可以使用;
C#实现实体类和XML相互转换
08-31
C#实体类和XML相互转换知识点 在软件开发中,实体类和XML之间的转换是非常常见的需求,特别是在与其他系统集成或数据交换时。C#语言提供了多种方式来实现实体类和XML之间的转换,本文将详细介绍C#实现实体类和XML...
xml实体类转换工具
09-28
XML实体类的相互转换工具,util是工具类,MyTest包含实体类转xml字符串以及XML字符串转实体类的方法,需要引入外部依赖或jar包,亲测可用
Oracle_Attip_XML_Entity_Exploit:Oracle Attip XML实体利用
02-24
服务总线CVE-2019-2576上的XML实体扩展 概述: 从下面的请求/响应示例中可以看出,可以执行xml实体扩展攻击,并且该攻击可以发送超出现有内存和处理器容量的请求,从而导致内存瓶颈并阻止服务运行。 返回更多10kb...
java xml实体之间的转换(附有XXE漏洞解决方案)
最新发布
lqr666的博客
01-09 1495
javaBean与xml之间相互转换(附有XXE漏洞解决方案)
xml自定义实体
dancheng1的博客
07-21 1761
自定义实体分为:一般实体参数实体 1、自定义一般实体 demo8中的代码: 对应的xml代码: XML 李白 &bj; 22.5 <![CDATA[ 链接1 ]]> PHP 杜甫 &bj; 22.5 <![CDATA[ 链接2 ]]> xml内部
xml定义实体
weixin_30404405的博客
05-21 514
1.实体的定义 *语法: <!ENTITY 实体名称 "实体的值"> ***<!ENTITY TEST "灼若芙蕖出绿波"> ***使用实体 &实体名称; 比如&TEST; **注意   *定义实体需要卸载内部dtd里面,如果卸载外部的dtd里面,有某些浏览器下,内容得不到 <?xml version="1.0" encodi...
Mybatis实现传入多个参数实体类型和基本类型)的方法
sinat_34241861的博客
08-04 5132
1、ProjectController类 Integer oldUserId = getUserIdByUserName(oldUserName); ProjectAndUser projectAndUser = new ProjectAndUser(); projectAndUser.setProjectId(project.getId()); projectAndUser.setUserId(newUserId); projectAndUser.setAccessLevel(1); p
XML Schema(W3C)数据类型
cg_Amaz1ng的博客
04-19 2740
XML Schema(W3C)数据类型XML Schema数据类型总体上分为简单类型和复杂类型。掌握了这部分的知识就掌握了它70%的内容。简单类型简单类型细分之后大概的结构如下: 内置基本类型:该类型与其它计算机语言中所提供的数据类型相似,有以下类型:string,boolean,float,double,decimal,time,datatime。比较特殊的是:duration(持续的日期/时间数
XML生成实体对象
鹰击长空
06-12 301
在此记录一个xml的工具类,该类可以读取xml文件,存入磁盘,并将xml转换为实体对象。 package com.sgcc.ahepc.util; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import ...
XML实体注入
weixin_55190422的博客
09-25 464
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
XML转化为具体的实体
qq_42817320的博客
08-12 3081
** 大体思路: ** 先将报文转化为List< HashMap<String, Object>>集合,在将HashMap转化为具体实体类。 entity: @Data public class ClearRoutingClearTask { private String index; private String taskType; private Long priority; } xml报文: <?xml version=\"1.0\" encoding=\"UTF-8\"
xml 实体执行命令java xxe
01-07
XML实体执行命令漏洞(XML External Entity,简称XXE),是指在XML文档的解析过程中,利用实体注入技术来执行恶意命令的一种攻击方式。对于该问题,以下是一个用300字中文回答: XML实体执行命令java xxe是一种漏洞攻击方式。当解析XML时,攻击者通过在XML文档中注入带有恶意代码的实体,可以导致服务器执行恶意命令或读取敏感数据。 在Java中,XXE漏洞可以通过DocumentBuilderFactory解析XML时使用的解析器特性(如“<!DOCTYPE”、“DOCTYPE”和“<ENTITY>”等)来注入实体。攻击者可以构造恶意的XML文档,通过实体注入技术注入包含恶意代码的外部资源引用。当XML文档被解析时,解析器会尝试从外部资源加载实体,如果攻击者在外部资源中包含了一些系统命令,那么这些命令就会被执行。 为防止XXE漏洞,应对输入进行合理过滤和安全处理。可采取以下几种防护措施:1.禁止或限制解析器使用外部实体和外部DTD文件。2.使用安全的解析器,如Woodstox、SAX、SAXON等,它们可以禁用外部实体和DTD。3.对输入进行严格的验证和过滤,确保只接受合法的XML数据。4.采用白名单机制,限制允许的XML元素、属性和实体。 总之,通过对输入进行严格验证和过滤,禁用或限制外部实体和DTD,选择安全的解析器等措施,可以有效防范XML实体执行命令java xxe漏洞带来的危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值