1.XXE漏洞
XXE漏洞就是XML外部实体注入,就是当xml引用外部实体并解析的时候会产生的漏洞,xml解析器去获取其中的外部资源并存储到内部实体中,攻击者可引用外部实体对目标进行文件读取、命令执行、DDOS、内网探测等。
2.什么是xml
1.XML 指可扩展标记语言(EXtensible Markup Language)是被设计用来传输和存储数据,而HTML则是被设计用来显示数据。
一个简单的xml文件包括声明、文档定义类型(DTD)、和元素。
<?xml version="1.0" encoding="UTF-8"?> 声明
<!DOCTYPE note [
<! ENTITY name "hello"> DTD定义类型
]>
<note>根元素
<to>&name;</to>子元素
<from>Jani</from>
<body>Don't forget me this weekend!</body>
</note>
3.什么是DTD
DTD(Document Type Definition,文档类型定义)
1)DTD是一套关于标记符的语法规则。它是XML1.0版规格的一部分,是XML文件的验证机制,属于XML文件组成的一部分。
2)XML文件提供应用程序一个数据交换的格式,DTD正是让XML文件能够成为数据交换的标准,因为不同的公司只需定义好标准的DTD,
各公司都