本文章为作者渗透测试自学系列文章,所有内容仅作为个人学习实验使用,请勿用于实战环境。
XXE漏洞
全称XML External Entity Injection, 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。
小白感觉这个东西说白了就是文件包含吧,以允许外部实体载入为前提,引入包含恶意构造的内容的文件而造成攻击效果的漏洞吧。
攻击点应该就是可以上传xml代码的地方,并且没有对xml代码进行检测和过滤。
xml与dtd基础
正好前几天看了一下xml和dtd,这里就用上了。
https://blog.csdn.net/weixin_42172261/article/details/103970527
比如下面