标签：XML 11.19 实体 ENTITY 文档 XXE DTD

XXE

全称XML External Entity Injection，XML外部实体注入攻击。

XML是用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

Html  标签固定 ，结构：html声明、头部、body  。为了显示数据

.xml   标签不固定，用户可自定义，结构：XML声明、DTD、文档元素。为了传输数据

 

<!DOCTYPE 变量名 [定义的元素]>

<!ELEMENT 变量名 (定义元素的名称)>

 

 

 

 

 

xml实体

 

在一个甚至多个XML文档中频繁使用某一条数据，可以先定义一个这条数据的别名，即一个ENTITY，然后在这些文档需要他的地方调用他。

分为外部实体、内部实体（来源区分）

XMl定义了两种ENTITY，一种在XML文档中使用，另一种作为参数在DTD文件中使用。

定义好的ENTITY在文档中通过“&实体名;”来使用。

可以把实体当作XML语言的变量。

 

实体类型：普通实体、外部实体、参数实体、外部参数实体

 

普通实体用&，参数实体用%

 

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE reset [
<!ENTITY % a SYSTEM "http://127.0.0.1/test.dtd">
%a;
]>
<reset>
  <login>&xxe;</login>
  <secret>Any bugs?</secret>
</reset>

 

XXE危害

使用file读取敏感文件：配置文件、/etc/passwd等

内网服务探测：http://10.10.10.10:80 /22/3306.....来探测端口

DOS攻击，递归调用，占用系统资源

 

无回显（盲型xxe）

使用数据带外技术（OOB），使用类似DNSlog的一些平台

 

标签：XML,11.19,实体,ENTITY,文档,XXE,DTD
来源： https://www.cnblogs.com/x98339/p/11891040.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。