eXtensible Markup Language可扩展标记语言
用途配置文件
交换数据
XML内容
xml声明
XML格式要求
-
XML文档必须有根元素
-
XML文档必须有关闭标签
-
XML标签对大小写敏感
-
XML元素必须被正确的嵌套
-
XML属性必须被加引号
DTD(Document Type Definition)文档类型定义
DTD内容之元素
元素 ELEMENT
DTD内容之实体
实体 ENTITY
实体ENTITY的使用
内部实体
外部实体
外部实体引用:协议
| 协议 | 使用方法 |
|---|---|
| file | file:///etc//passwd |
| php | php://filter/read=convert.base64encode/resource=index.php |
| http | 页面不存在_百度搜索 |
不同语言支持的协议
| Libxml2 | PHP | Java | .NET |
|---|---|---|---|
| file , http, ftp | file, http, ftp, php, compress.zlib, compress.bzip2, data, glob, phar | file, http, https, ftp, jar, netdoc, mailto, gopher* | file, http, https,ftp |
PHP扩展
完整的XML内容
XML声明部分
文档类型定义
文档元素
2.什么是XXE
XML外部实体注入(XML External Entity Injection)
XXE定义如果Web应用的脚本代码没有限制XML引入外部实体,从而导致用户可以插入一个外部实体,并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
3.XXE利用方式]>
盲打-http接口参数,写入文件
4.XXE防御 1.禁用外部实体
Java
DocumentBuilderFactory dbf =DocumentBuilderFactory.newlnstance(); dbf.setExpandEntityReferences(false); 2.过滤用户提交的XML数据
' “ "(two apostrophe) "" < > ]]> ]]>> /--> -->热门相关搜索路由器设置 木托盘 宝塔面板 儿童python教程 心情低落 朋友圈 vim 双一流学科 专升本 我的学校 日记学校 西点培训学校 汽修学校 情书 化妆学校 塔沟武校 异形模板 西南大学排名 最精辟人生短句 6步教你追回被骗的钱 南昌大学排名 清朝十二帝 北京印刷学院排名 北方工业大学排名 北京航空航天大学排名 首都经济贸易大学排名 中国传媒大学排名 首都师范大学排名 中国地质大学(北京)排名 北京信息科技大学排名 中央民族大学排名 北京舞蹈学院排名 北京电影学院排名 中国戏曲学院排名 河北政法职业学院排名 河北经贸大学排名 天津中德应用技术大学排名 天津医学高等专科学校排名 天津美术学院排名 天津音乐学院排名 天津工业大学排名 北京工业大学耿丹学院排名 北京警察学院排名 天津科技大学排名 北京邮电大学(宏福校区)排名 北京网络职业学院排名 北京大学医学部排名 河北科技大学排名 河北地质大学排名 河北体育学院排名名师互学网 版权所有 (c)2021-2022 ICP备案号:晋ICP备2021003244-6号
