漏洞总结——XXE（XML外部实体注入）_xxe注入

原理

XXE漏洞全称为 XML External Entity Injection，即XML外部实体注入

XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载， 导致用户可以控制外部的加载文件，造成XXE漏洞。

危害

• 任意文件读取
• 内网端口探测
• 拒绝服务攻击
• 钓鱼

防御

一、使用开发语言提供的禁用外部实体的方法

1.PHP：
libxml_disable_entity_loader(true);

2.JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

3.Python：
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

二、过滤用户提交的XML数据

过滤关键词：
<！DOCTYPE、<！ENTITY SYSTEM、PUBLIC

RCE

RCE（Remot Command/Code Execute），远程命令/代码执行

远程命令执行：用户可以控制系统命令执行函数的参数，也称命令注入

远程代码执行：用户输入的参数可以作为代码执行，也称代码注入

命令执行可以看作是一种特殊的代码执行，代码执行相对会更加灵活

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，

那么你需要的话可以点击这里网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析