XXE漏洞原理/防御
原理
XXE又叫 XML外部實體注入 , 攻擊者修改DTD引入的外部文件 , 從而執行攻擊 ,
比如讀取任意文件 , 命令執行 , 內網探測 或者 DOS拒絕服務
防御
XXE的防御有兩個方向 過濾 和 禁用
過濾參數中的關鍵詞
或者禁用外部實體引用
XML
XML用來傳輸數據 , 常用作配置文件
XML文檔結果包括三部分
XML聲明
DTD文檔類型定義
文檔元素
DTD是一種XML約束模式語言,有三種應用形式
內部DTD文檔
外部DTD文檔
內外部DTD文檔結合
XML
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章
