部分图片来自于网络,如有侵权,请联系我及时删除~

一、XXE的概念

1.1 什么是xml

xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。

1.2 xml文档格式

1.3 simplexml_load_string()

函数功能:转换形式正确的XML字符串为SimpleXMLElement对象

注意:在PHP里边解析xml用的是libxml,它在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。而XXE漏洞就发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致攻击者可以构造一个恶意的XML。

二、漏洞演示

1、我们来到pikachu实验平台。

2、看一下源代码。

3、用一个例子进行实验。

4、下面我们来用恶意的xml进行漏洞的演示。

最新文章

  1. Android 利用ImageView显示图片
  2. scrollViewDidEndScrollingAnimation和scrollViewDidEndDecelerating的区别
  3. Qt线程(4) 降低线程占用CPU
  4. CSS中的绝对定位与相对定位
  5. MFC下无法为空间添加变量解决
  6. WPF WebBrowser屏蔽弹出alert ,confirm ,prompt ,showModalDialog() ,window.open()
  7. OSG addEventHandler W键 L键 F键
  8. Codeforces Round #213 (Div. 2) B. The Fibonacci Segment
  9. 反射 DataTable拓展方法 转实体对象、实体集合、JSON
  10. 怎样取得数组对象和arralist 的长度
  11. Mac系统杂项 (持续更新)
  12. JavaScript作用域那些事
  13. 第四次上机,ASP组件的使用
  14. mac os 10.12 Sierra 连接 惠普 M1136 MFP 打印机,通过 samba 协议,安装驱动,连接打印机
  15. lua 日期的一些函数
  16. flex学习, 尝试布局一个计算器
  17. 汉字 Unicode 编码范围
  18. 分页插件 jquery.pagination.js
  19. Xcode使用小技巧-filter查找功能和查看最近修改的文件
  20. hadoop 链接 mysql

热门文章

  1. 如何高效实用 Git
  2. 为什么你应该使用 Kubernetes(k8s)
  3. OA系统、ERP系统、CRM系统的区别和联系有哪些?企业该如何使用?
  4. Frameworks.Entity.Core 6 Specification
  5. 《高性能MySQL》之MySQL查询性能优化
  6. Navicat premium 12 for mac 无限试用
  7. springboot中使用Caffeine本地缓存
  8. vue2.x中使用计算属性巧妙的实现多选框的“全选”
  9. .net core3.1 下由Autofac接管IOC
  10. 套接字名与DNS