OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)
前言
提示:这里可以添加本文要记录的大概内容:
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。
提示:以下是本篇文章正文内容,下面案例可供参考
一、XXE是什么?
XML External Entities 简称XXE,攻击者可以上传 XML 或在 XML 文档中包含恶意内容,这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造(SSRF)、从解析器所在机器的角度进行端口扫描以及其他系统影响。
二、什么情况会造成XXE
- 应用程序直接接受 XML 或 XML 上传,尤其是来自不受信任的来源,或将不受信任的数据插入 XML 文档,然后由 XML 处理器解析.
- 应用程序或基于 SOAP 的 Web 服务中的任何 XML 处理器都启用了文档类型定义 (DTD)
- 如果应用程序在单点登录 (SSO) 使用 SAML 进行身份处理。SAML 使用 XML 进行身份断言,因此可能容易受到攻击。
- 如果应用程序使用 1.2 版之前的 SOAP,并且将 XML 实体传递给 SOAP 框架,则它很可能容