介绍
XML外部实体注入(XML External Entity),简称XXE漏洞。
形成原因
服务端接收并解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
详细介绍
这位师傅总结的非常好,直接参考这位师傅写的学习吧。
一篇文章带你深入理解漏洞之 XXE 漏洞
防御
1、禁用外部实体
2、过滤用户的输入(SYSTEM,PUBLIC、<!DOCTYPE、<!ENTITY)等。
XML外部实体注入(XML External Entity),简称XXE漏洞。
服务端接收并解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
这位师傅总结的非常好,直接参考这位师傅写的学习吧。
一篇文章带你深入理解漏洞之 XXE 漏洞
1、禁用外部实体
2、过滤用户的输入(SYSTEM,PUBLIC、<!DOCTYPE、<!ENTITY)等。