概述
XML
XML(eXtensible Markup Language),即可扩展标记语言,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
XML结构分为:
- XML声明
- DTD文档类型定义(可选)
- 文档元素
XML漏洞
XXE
XXE是XML的一个漏洞,全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害
XXE产生根本原因:网站接受XML数据,没有对xml进行过滤