XXE漏洞原理/防御

网友投稿 714 2022-05-29

原理

XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 ,

比如读取任意文件 , 命令执行 , 内网探测 或者 DOS拒绝服务

防御

XXE的防御有两个方向 过滤 和 禁用

过滤参数中的关键词

或者禁用外部实体引用

XML

XML用来传输数据 , 常用作配置文件

XML文档结果包括三部分

XML声明

DTD文档类型定义

文档元素

DTD是一种XML约束模式语言,有三种应用形式

内部DTD文档

XXE漏洞原理/防御

外部DTD文档

内外部DTD文档结合

XML

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:【愚公系列】2022年01月 Java教学课程 63-原子性
下一篇:类变量基本使用
相关文章