XXE漏洞是什么
XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。
知道XXE漏洞前首先得先了解XML
XML(Extensible Markup Language),中文名可扩展标记语言。 被设计用来传输和存储数据。
XML 指可扩展标记语言
XML是一种很像HTML的标记语言,但是其语法比HTML更为严谨。
XML 被设计用来传输和存储数据,而不是显示数据。
XML标签没有被预定义。您需要自行定义标签。
注意点:XML不会做任何事情,它仅仅是包装在XML标签中的纯粹的信息。
XML文档结构
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
<?xml version="1.0"?> //元数据,版本为xml解析器解析的版本<Person><Name>John</Name><Age>20</Age></Person> <Person></Person>为根元素,有