(0人评价)
XXE漏洞探索与利用

购买过企业安全测试与实践、安全技术会员课程的学员不要再买此课程

价格 ¥ 99.00
承诺服务
音频听课 手机端支持一键听课 (试一试)
会员免费学 购买课程
课程介绍

XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。

XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

xml是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言.xml文档结构包括xml声明、DTD文档类型定义(可选)、文档元素. 
所有的XML文档均有以下简单的构建模块组成: 
·元素(元素是XML以及HTML文档的主要构成模块,元素可包含文本、其他元素或者是空的) 
·属性(属性可提供有关元素的额外信息) 
·实体(实体是用来定义普通文本的变量。实体引用是对实体的的引用,这里的引用就可以为我们提供xxe攻击) 
·PCDATA(会被解析器解析的文本。这些文本将被解析器检查实体以及标记) 
·CDATA(字符数据,不会被解析器解析的文本)

DTD(文档类型定义)
DTD的作用是定义XML文档的合法构建模块 
DTD可以在XML文档内声明,也可以外部引用 
内部声明: 
外部声明:

DTD实体

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。 
实体分为一般实体和参数实体 

产生的危害

xxe危害1:读取任意文件 
xxe危害2: 执行系统命令 
xxe危害3:探测内网端口 
xxe危害4:攻击内网网站 
xxe危害5: 导致DOS攻击

授课教师

课程特色

视频(1)

学员动态