XML基礎
http://www.w3school.com.cn/xml/index.asp
http://www.runoob.com/xml/xml-tutorial.html
XML 指可擴展標記語言
XML 被設計用來傳輸和存儲數據。
DTD
http://www.w3school.com.cn/dtd/dtd_intro.asp
http://www.runoob.com/dtd/dtd-tutorial.html
DTD(文檔類型定義)的作用是定義 XML 文檔的合法構建模塊。
DTD 可被成行地聲明於 XML 文檔中,也可作爲一個外部引用。
XML外部實體注入(XML External Entity)
XXE漏洞全稱XML External Entity Injection即xml外部實體注入漏洞,XXE漏洞發生在應用程序解析XML輸入時,沒有禁止外部實體的加載,導致可加載惡意外部文件,造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起dos攻擊等危害。xxe漏洞觸發的點往往是可以上傳xml文件的位置,沒有對上傳的xml文件進行過濾,導致可上傳惡意xml文件。
- 淺談XML實體注入漏洞:http://www.freebuf.com/vuls/175451.html
- XXE外部實體注入:https://blog.csdn.net/u011215939/article/details/80376304
- XXE攻擊指南:https://www.secpulse.com/archives/58915.html
- 談一談php://filter的妙用:https://www.secpulse.com/archives/50648.html
//php中禁用加載外部實體的功能
libxml_disable_entity_loader( bool )