1、定义
xxe,xml extensible,xml外部实体漏洞。是xml引入外部实体文件时,所发生的。
从危害上来说:
(1)可以进行内网的ip和端口扫描
(2)可以读取本地文件
从输出上来说:
(1)直接输出到前端
(2)不直接输出,则可以基于url,设置为攻击者控制的主机接收发送的数据
2、利用过程
3、测试步骤
(1)发现xml请求
4、防护
避免xml外部实体引用,以及严格的检查过滤
1、定义
xxe,xml extensible,xml外部实体漏洞。是xml引入外部实体文件时,所发生的。
从危害上来说:
(1)可以进行内网的ip和端口扫描
(2)可以读取本地文件
从输出上来说:
(1)直接输出到前端
(2)不直接输出,则可以基于url,设置为攻击者控制的主机接收发送的数据
2、利用过程
3、测试步骤
(1)发现xml请求
4、防护
避免xml外部实体引用,以及严格的检查过滤