XML,XXE漏洞原理、利用,无回显的XXE漏洞利用方式,漏洞修补。
一、什么是XXE漏洞?
1 | XXE全称是——XML External Entity,也就是XML外部实体注入攻击。 |
二、什么是XML?
1 | XML指可扩展标记语言(Extensible Markup Language) |
三、XML语法规则
1 | 1、所有的XML元素都必须有一个【关闭标签】。 |
四、DTD
1 | 【通过 DTD验证 的XML是“合法”的XML。】 |
五、XML注入产生的原理
1 | XXE漏洞全称XML External Entity Injection即XML外部实体注入漏洞, |
六、XXE 漏洞代码详解
1 | ①开启 Metasploitable 靶机 |
1 | 扩展: |
七、无回显文件读取
1 | XXE无回显文件读取 的思路: |
1 | 实验环境描述: |
八、XXE 漏洞修补
1 | 1、升级 libxml 版本 |
本文作者:
kur08a
本文链接: https://kur08a.github.io/2022/06/13/XXE/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://kur08a.github.io/2022/06/13/XXE/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!