「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。
原理
XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 ,
比如读取任意文件 , 命令执行 , 内网探测 或者 DOS拒绝服务
防御
XXE的防御有两个方向 过滤 和 禁用
过滤参数中的关键词<!DOCTYPE 和 <!ENTITY,或者SYSTEM和PUBLIC
或者禁用外部实体引用
XML
XML用来传输数据 , 常用作配置文件
XML文档结果包括三部分
XML声明
DTD文档类型定义
文档元素
DTD是一种XML约束模式语言,有三种应用形式
内部DTD文档
外部DTD文档
内外部DTD文档结合