本文详细介绍了XXE(XML External Entity)漏洞的原理,从XML的基本概念到XXE漏洞的产生原因,再到实际的修复方案。通过实例展示了如何利用Burp Suite检测XXE漏洞,并提供了PHP、JAVA、Python三种开发语言禁用外部实体的方法。同时,建议避免用户直接提交XML数据,过滤敏感内容,以防止XXE漏洞的发生。
XXE漏洞是什么
XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。
知道XXE漏洞前首先得先了解XML
XML(Extensible Markup Language),中文名可扩展标记语言。 被设计用来传输和存储数据。
XML 指可扩展标记语言
XML是一种很像HTML的标记语言,但是其语法比HTML更为严谨。
XML 被设计用来传输和存储数据,而不是显示数据。
XML标签没有被预定义。您需要自行定义标签。
注意点:XML不会做任何事情,它仅仅是包装在XML标签中的纯粹的信息。
XML文档结构
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
<?xml version="1.0"?> //元数据,版本为xml解析器解析的版本<Person><Name>John</Name><Age>20</Age></Person> <Person></Person>为根元素,有
订阅专栏 解锁全文
扫一扫
56万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
