XXE
基础概念:
XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML
文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执
行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础
XML:
XML是可扩展的标记语言(eXtensible Markup
Language),设计用来进行数据的传输和存储,
结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下:
XML 被设计用来传输和存储数据。HTML 被设计用来显示数据。
XML基础
XML 指可扩展标记语言 (EXtensible Markup Language)
XML 是一种标记语言,很类似 HTML
XML 的设计宗旨是传输数据,而非显示数据
XML 标签没有被预定义。您需要自行定义标签。
XML 被设计为具有自我描述性
XML是W3C的推荐标准
XML 是不作为的
也许这有点难以理解,但是 XML 不会做任何事情。XML
被设计用来结构化、存储以及传输信息下面是 John 写给 George 的便签,存储为 XML:
<note>
<to>George</to>
<from>John</from>