pikachu-XXE(xml external entity-injection)
2024-10-08 07:38:26
部分图片来自于网络,如有侵权,请联系我及时删除~
一、XXE的概念
1.1 什么是xml
xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。
1.2 xml文档格式
1.3 simplexml_load_string()
函数功能:转换形式正确的XML字符串为SimpleXMLElement对象
注意:在PHP里边解析xml用的是libxml,它在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。而XXE漏洞就发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致攻击者可以构造一个恶意的XML。
二、漏洞演示
1、我们来到pikachu实验平台。
2、看一下源代码。
3、用一个例子进行实验。
4、下面我们来用恶意的xml进行漏洞的演示。
最新文章
- Android 利用ImageView显示图片
- scrollViewDidEndScrollingAnimation和scrollViewDidEndDecelerating的区别
- Qt线程(4) 降低线程占用CPU
- CSS中的绝对定位与相对定位
- MFC下无法为空间添加变量解决
- WPF WebBrowser屏蔽弹出alert ,confirm ,prompt ,showModalDialog() ,window.open()
- OSG addEventHandler W键 L键 F键
- Codeforces Round #213 (Div. 2) B. The Fibonacci Segment
- 反射 DataTable拓展方法 转实体对象、实体集合、JSON
- 怎样取得数组对象和arralist 的长度
- Mac系统杂项 (持续更新)
- JavaScript作用域那些事
- 第四次上机,ASP组件的使用
- mac os 10.12 Sierra 连接 惠普 M1136 MFP 打印机,通过 samba 协议,安装驱动,连接打印机
- lua 日期的一些函数
- flex学习, 尝试布局一个计算器
- 汉字 Unicode 编码范围
- 分页插件 jquery.pagination.js
- Xcode使用小技巧-filter查找功能和查看最近修改的文件
- hadoop 链接 mysql
热门文章
- 如何高效实用 Git
- 为什么你应该使用 Kubernetes(k8s)
- OA系统、ERP系统、CRM系统的区别和联系有哪些?企业该如何使用?
- Frameworks.Entity.Core 6 Specification
- 《高性能MySQL》之MySQL查询性能优化
- Navicat premium 12 for mac 无限试用
- springboot中使用Caffeine本地缓存
- vue2.x中使用计算属性巧妙的实现多选框的“全选”
- .net core3.1 下由Autofac接管IOC
- 套接字名与DNS