6.dubbo常用的xml配置有哪些_在使用xml传递数据时,你知道关闭实体类解析么?...

XML实体类解析是开发中常见的数据传递方式,但如果不慎处理,可能会导致严重的安全问题,如任意文件读取、系统命令执行等。了解并防止XML实体类解析的滥用至关重要。确保在不需要实体类解析时关闭此功能,可以有效避免潜在的安全威胁。关闭方法因开发语言不同而异,需要针对性地实施。
摘要由CSDN通过智能技术生成

xml解析是开发人员日常开发中常用的一种数据传递格式,但是很多开发人员并不知道xml解析中的实体类解析。一旦引入实体类解析,可以通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

我们来看一下什么样子的格式是xml格式:

这是我们主备的xml实体类解析的网站:

eb417a69c950e4528c0707d46c2a52b7.png

通过抓包,我们可以看传递过来的格式:

a83df87c0b9e4f9a0ea689057424fe7c.png

这样以xml开头的并且里面是标签形式的,就是xml格式,这是如果没有禁止解析实体类的话,我们就可以利用实体类解析的形式读取我们系统的文件。

由于网站发布在windows系统中,我们来读取windows下的boot.ini

08adb60321c85ead2e69080648c52764.png

这样我们就能读取出我们知道路径的系统文件,当然如果你知道网站代码的路径你也是可以读取出网站代码的。其中包括数据库配置文件,代码配置文件等都是可以读取出来的。

针对于还不知道实体类解析的开发小伙伴,在使用大xml格式进行传递数据的时候一定要注意了,如果你业务不需要进行实体类解析,那么一定要关闭实体类解析这个,至于如何关闭,针对不同的开发语言不用的关闭方法,下一篇文章会为大家讲解。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值