浅谈XXE攻击

时间：2017-10-19 12:28:01 阅读：145 评论：0 收藏：0 [点我收藏+]

标签：种类 ajax 攻击 int bsp span company ati rod

　　一、XXE，即XML External Entity，XML外部实体。ENTITY 实体，在一个甚至多个XML文档中频繁使用某一条数据，我们可以预先定义一个这条数据的“别名”，即一个ENTITY，然后在这些文档中需要该数据的地方调用它。XML定义了两种类型的ENTITY，一种在XML文档中使用，另一种作为参数在DTD文件中使用。ENTITY的定义语法：

<!DOCTYPE  文件名 [
<!ENTITY  实体名 "实体内容">
]>

定义好的ENTITY在文档中通过“&实体名;”来使用。举例：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE booklist [
<!ENTITY publisher "ABC company">
]>
<booklist>
<book>
<name>Ajax</name>
<price>$5.95</price>
<description>Foundations of Ajax.</description>
<publisher>&publisher;</publisher>   这里的&publisher;会被“ABC company”替换
</book>
<book>
<name>Ajax Patterns</name>
<price>$7.95</price>
<description>Introduction of Ajax Patterns.</description>
<publisher>&publisher;</publisher>  这里的&publisher;会被“ABC company”替换
</book>
</booklist>

在 XML 中有 5 个预定义的实体引用：

<	<	小于
>	>	大于
&	&	和号
'	‘	省略号
"	"	引号

注释：严格地讲，在 XML 中仅有字符 "<"和"&" 是非法的。省略号、引号和大于号是合法的，但是把它们替换为实体引用是个好的习惯。

参考：

1、http://www.freebuf.com/articles/web/126788.html

浅谈XXE攻击

标签：种类 ajax 攻击 int bsp span company ati rod

原文地址：http://www.cnblogs.com/shengulong/p/7691477.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行