总之XML是一种存储数据的文件格式,XML里可以外部引用一些东西(就在这里埋下攻击),当后端使用simplexml load string(),就可以把XML解析对象来编辑,然后就在此时外部引用木马就达成攻击了,然后PHP里libxml在2.9以上的版本就禁止解析XML外部实体内容了
总之XML是一种存储数据的文件格式,XML里可以外部引用一些东西(就在这里埋下攻击),当后端使用simplexml load string(),就可以把XML解析对象来编辑,然后就在此时外部引用木马就达成攻击了,然后PHP里libxml在2.9以上的版本就禁止解析XML外部实体内容了