|
A4-XML外部实体引用漏洞(XML External Entities,XXE)
|
|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > Web应用漏洞分析与防护 > OWASP Top 10 >
|
相关知识点:10个
|
|
|
|
许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。该漏洞的出现场景举例如下:
|
|
|
|
|
场景2:攻击者通过将上面的实体行更改为以下内容来探测服务器的专用网络。
|
|
|
|
|
|
|
|
|
|
|
|
|