热门标签
热门文章
- 1RK3399linux交叉编辑器下载,ubuntu下交叉编译X264和FFMPEG到RK3399平台(编译器:aarch64-linux-gcc)...
- 2人工智能为什么可以准确回答问题而不依赖数据库呢?_机器人对答是数据库
- 3有哪些好用不火的软件?_实验楼怎么样csdn
- 4PolarDB 卷来卷去 云原生低延迟强一致性读 1 (SCC READ 译 )
- 5FLASH问题答疑
- 6基于GPT-3.5的AI机器人:源码与脚本详解大数据任务提交和执行_ai3.5在线机器人
- 7无人机摄影测量数据处理、三维建模及在土方量计算中的应用_像空点
- 8【gitlab部署】centos8安装gitlab(搭建属于自己的代码服务器)
- 9【MySQL精通之路】全文搜索-布尔型全文搜索
- 10物联网主干组网之全IP光网络_光传输组网原理
当前位置: article > 正文
XXE原理简介、防御方案
作者:小丑西瓜9 | 2024-05-18 21:28:17
赞
踩
xxe
一、XXE原理
XXE(XML External Entity
Injection):XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。
构造恶意 DTD
二、XXE自查
- 检查是否用到了XML解析功能,是否限制DTD功能 可以查询是否使用了
DocumentBuilderFactory、SAXReader、XMLInputFactory、XMLReader、XStream、SAXBuilder、SAXParserFactory、SAXTransformerFactory、SchemaFactory、TransformerFactory类库
三、XXE防御
禁用DTD或开启“安全处理”配置
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/589952
推荐阅读
相关标签
