前言:
遇到个XXE漏洞,查点资料做个笔记。
在叙述之前说下XML,XML被设计用来传输和存储数据,HTML被设计用来显示数据,XML格式必须严格化。
目录:
0x01:漏洞原理
0x02:攻击代码
0x03:如何防御
0x01 漏洞原理
1:XML可控且后端处理时无过滤(满足这个其实就可以了)
2:XML解析是引用外部实体(默认就可以)
0x02 攻击代码
服务器端:
Get_Xxe.php
0x03 如何防御
1:禁止引用外部实体,但SSRF还可用
2:过滤<> RNTITY 等(前面已经说过XML是必须严格化,所以过滤这些就无法解析)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
