XXE漏洞學習一

2021-10-23 00:06:52 字數 511 閱讀 7474

想從事網路安全相關的實習工作,因此學習一些入門基礎知識,簡單記錄下。

1.xml介紹及應用

主要內容:

html 是用來格式顯示資料

xml用來傳輸儲存資料,樹狀結構,從根部開始,擴充套件到枝葉,xml允許創作者定義自己的標籤和文件結構

樹結構:

2.xml語法規則

主要內容:

所有的xml元素必須有乙個關閉的標籤

xml標籤對大小寫敏感

xml必須正確巢狀

xml屬性值必須加引號     

實體引用 例:>  --gt ; <--lt

在xml中,空格會被保留

3.xml元素介紹

主要內容:

4.xml dtd

主要內容:

使用者正確語法的xml被稱為「形勢良好」的xml,通過dtd驗證的xml是「合法」的xml。

XXE漏洞學習二

1.dtd宣告型別 主要內容 內部的doctype宣告 外部文件宣告 假如dtd位於xml原始檔外部,那麼他通過下面的語法被封裝在乙個doctype定義中 2.資料型別 主要內容 pcdata 被解析的字元資料 parsed character data pcdata 是被解析器解析的文字。這些文字...

XXE漏洞概述

xxe xml external entity injection 是xml的外部文件的一種注入漏洞。首先來看一下xml的大體結構 dtd document type definition 即文件型別定義,用來為xml文件定義語義約束。主要出問題的大多是從dtd這部分出的。dtd大體框架 dtd 內...

XXE漏洞利用

docker搜尋xxe相關映象包,然後pull下來,我這裡pull的是 rrodrigo xxelab 映象包。啟動docker環境,對映到vps的32776埠 訪問 輸入註冊資料,抓包重放。發現提交資料報採用 xml 格式傳遞,且郵箱有返回。這裡我們引用外部dtd實體,並且將email的值修改為引...