介绍XXE漏洞
XML外部实体注入(XML External Entity)简称XXE漏洞。
什么是 XML?
XML 指可扩展标记语言(EXtensible Markup Language)。
XML 是一种很像HTML的标记语言。
XML 的设计宗旨是传输数据,而不是显示数据。
XML 标签没有被预定义。您需要自行定义标签。
XML 被设计为具有自我描述性。
XML 是 W3C 的推荐标准。
*XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
常见的XML语法结构如下图所示。
DTD全称为,Document Type Definition,中文翻译为文档类型定义,是一套为了进行程序间的数据交换而建立的关于标记符的语法规则。
文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。
DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。
内部的 DOCTYPE 声明
<!DOCTYPE root-element [element-declarations]>
外部文档声明
<!DOCTYPE root-element SYSTEM "filename">
在 DTD 中进行实体声明的时候,将使用 ENTITY 关键字来声明。实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体可在内部或外部进行声明。
一个内部实体声明
<!ENTITY entity-name "entity-value">
一个外部实体声明
<!ENTITY entity-name SYSTEM "URI/URL">
XXE漏洞代码分析
服务器端处理XML的代码如下,代码的实现过程如下所示。