欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注
终于到了一款比较新的漏洞了,这是这几年新的流行款了,因为实际工作中遇到的少,所以基本上就荒废了,看了我之前的博客才回忆起来,毕竟为了“补天”嘛。就学学啦。还是要感谢一波暗大佬的教学,说实话除了发音不准确不讲原理以外讲的确实还可以。有兴趣的小伙伴可以咨询他。
此外,这一篇也写得挺不错的,适合小白和有一定基础的人看,貌似是译文:【干货分享】你所不知道的XML安全——XML DTD与XXE攻击 – 绿盟科技技术博客
在我的理解中,XXE就是XML的外部实体攻击,但是需要注意的是:libxml<libxml2.9 不支持外部实体(请在PHPinfo中查看版本是否支持)
目录
一、XML外部实体注入(XXE我认知中的)
1.外部实体和内部实体的区别
主要在于system吧:
在程序用的比较多就是内部实体(如下)
<!ENTITY 实体名称 "实体的值">
<?xml version="1.0" encoding="ISO-8859-1"?>
<note>
<to>George</to>
<from>John</fr