【悟空云课堂】第二十三期：对XML外部实体引用的不当限制（CWE-611 ：Improper Restriction of XML External Entity Reference）_improper_restriction_of_xxe_ref

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！

该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。

【悟空云课堂】第二十三期：对XML外部实体引用的不当限制（CWE-611: Improper Restriction of XML External Entity Reference）

什么是对XML外部实体引用的不当限制？

该软件处理的XML文档可能包含带有URI的XML实体，这些URI可以解析为超出预期控制范围的文档，从而导致产品将不正确的文档嵌入其输出中。

XML文档可以选择包含文档类型定义（DTD），该文档类型定义（DTD）除其他功能外，还可以定义XML实体。可以通过提供URI形式的替换字符串来定义实体。XML解析器可以访问此URI的内容，并将这些内容重新嵌入XML文档中以进行进一步处理。

对XML外部实体引用的不当限制构成条件有哪些？

满足以下条件，就构成了一个该类型的安全漏洞：

通过提交使用file：// URI定义外部实体的XML文件，攻击者可以使处理应用程序读取本地文件的内容。例如，诸如“ file：/// c：/winnt/win.ini”之类的URI（在Windows中）指定文件C：\ Win