XXE漏洞简介

(1)XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞, XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据
(2)也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致漏洞

DTD(Document Type Definition 文档类型定义)

1.DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用
2.外部实体(即可能存在漏洞的地方)声明:<!ENTITY 实体名称 SYSTEM "URI">
3.通过URL的不同访问而造成不同影响

下图为XML文档的一个完整简单的组成

解析:
(1)在DTD中,定义name为实体名,后面url为实体文本
(2)在XML元素中,&name表示实体变量,实际值为DTD定义的实体文本,即URL
(3)服务器后台解析执行代码元素,实际上服务器就是访问url,并且可能会把执行结果返回给用户,即漏洞存在

XXE漏洞原理--简单理解相关推荐

  1. XXE漏洞原理及防御方式。

    目录 1.xml 简单了解 1.1 xml声明 1.2文档类型定义 1.3文档元素 1.4代码详解 2.DTD两种使用方式 2.1内部声明 2.2外部声明 3.DTD实体 3.1内部实体声明引用 3. ...

  2. 序列化和反序列化漏洞的简单理解

    1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic.Web ...

  3. xxe漏洞原理与防御

    xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成.另外php版本大于5.4.45的默认不解析外部实体 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数 ...

  4. 主成分分析法原理简单理解及技术实现

    主成分分析法 主成分分析是利用降维的思想,在损失很少信息的前提下,把多个指标转化为几个综合指标的多元统计方法.通常把转化生成的综合指标称为主成分,其中每个主成分都是原始变量的线性组合,且各个主成分之间 ...

  5. XXE漏洞原理/防御

    原理 XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 , 比如读取任意文件 , 命令执行 , 内网探测 或者 DOS拒绝服务 防御 XXE的防御有两个方向 过滤 ...

  6. 反向传播求偏导原理简单理解

    神经网络中用反向传播求偏导数的思想就相当于复合函数求偏导. 从头说起,在学生时代我们要求下面式子中,函数 e ( a , b ) e(a,b) e(a,b)对a和b的偏导数: e = ( a + b ...

  7. WaveNet原理简单理解

    WaveNet中重要的概念: 因果卷积(causal convolution): 因果卷积的意义就是WaveNet在生成t时刻的元素时,只能使用0到t-1时刻的元素值.如下图所示,在WaveNet中利 ...

  8. 奇偶校验位使用原理简单理解

    奇偶校验是检测通信是否正常工作的方式,因为数据传输在机器中都是以0,1的形式存在的,如果发送端传送1的个数为奇数个,而接收端接收1的个数为偶数个,则证明该信号传输出现了丢失,因此可以要求从新发送.奇偶 ...

  9. 什么是XXE漏洞,XXE漏洞的原理

    因为最近做的靶机关于XXE漏洞,这里简单写一下什么是XXE漏洞,自己理解的东西,一来方便自己经常回顾,二来对还没有接触过XXE漏洞的朋友来说也比较友好 ​ XXE漏洞全称XML ,即XML外部实体注入 ...

最新文章

  1. 函数 —— strchr() 例如:字符串中的 192.168.1.2|00:11:22:33:44:55 取出字符串中的ip与mac值
  2. 程序员面试题精选100题(59)-字符串的组合[算法]
  3. Red hat6.4重新安装yum
  4. linux i2c adapter 增加设备_Linux驱动之I2C驱动架构
  5. 文件的复制、移动、压缩等对SELinux属性关系详解
  6. 中国甲状腺功能减退药行业市场供需与战略研究报告
  7. VMware在NAT模式下配置静态IP
  8. 由如何将EditText失去焦点在首次加载时的思考
  9. Google日历服务快捷、简便
  10. sqlserver2010教程百度云盘_郝斌SqlServer2005自学全集视频教程
  11. 深入浅出Mysql 读书笔记
  12. vue vant ui 教程注意事项
  13. RGB配色表,CMYK配色表
  14. 如何判断BIOS设置是否开启CPU虚拟化功能?
  15. 《痞子衡嵌入式半月刊》 第 66 期
  16. 查询出一班、二班的人数和平均分,并且按照由高到低排序
  17. 基于QT的网络嗅探器实现(网络安全课程设计)
  18. Fiddler修改请求、响应数据
  19. Python 当前时间是那一年第几周的周几
  20. Linux快速入手系列二( 文本处理 )

热门文章

  1. node.js----util.inherits详解
  2. 四面阿里巴巴回来分享面经总结,定级P7架构师
  3. 剥opgw光缆工具_OPGW光缆作业指导书.doc
  4. Python——在不同层级目录import模块的方法
  5. linux使用指定版本JDK运行jar包
  6. SQL数据类型datetime
  7. UML于模式应用 摘抄(1)
  8. 隐写术(盲水印):从入门到出门
  9. ashx PHP文件 优劣,ashx的文件如何控制安全性
  10. 归一化互相关匹配算法