XML注入分为两大种:
1)结构型注入
2)实体
结构型,是因为没校验,用户输入直接当做代码执行了。做转码就行了。转码那些,直接搜索。
实体注入: XXE,内部实体注入;
其实就是引用,比如引用内网端口,SSRF. 搜索内网文件等
内部实体互相引用,可能会DOS攻击。疯狂占用服务器的资源
DOS攻击就是指的占用服务器资源。导致正常业务没法动了。
XML注入分为两大种:
1)结构型注入
2)实体
结构型,是因为没校验,用户输入直接当做代码执行了。做转码就行了。转码那些,直接搜索。
实体注入: XXE,内部实体注入;
其实就是引用,比如引用内网端口,SSRF. 搜索内网文件等
内部实体互相引用,可能会DOS攻击。疯狂占用服务器的资源
DOS攻击就是指的占用服务器资源。导致正常业务没法动了。