XML 基础知识 && XXE 漏洞原理解析及实验

主要观点总结

本文介绍了XXE漏洞的相关知识，包括XML、HTML的关系，XML的结构，DTD的作用，以及XXE漏洞的原理和攻击方式。

关键观点总结

关键观点1: XXE漏洞概述

XXE（XML External Entity Injection，XML外部实体注入）是一种针对XML解析器的漏洞。当应用程序使用XML文件作为数据交换格式时，如果允许使用外部实体并且没有正确过滤或处理这些实体，就可能导致XXE漏洞。

关键观点2: XML与HTML的关系

HTML用于显示数据，关注数据的外观；而XML用于传输和存储数据，关注数据的内容。

关键观点3: DTD的作用

DTD（Document Type Definition，文档类型定义）用于定义XML文档的结构和规则，确保文档符合特定的格式要求。

关键观点4: XXE漏洞的原理和攻击方式

攻击者通过构造恶意的XML数据，利用外部实体引用，获取服务器上的敏感文件或者执行恶意操作。有回显的XXE和无回显的XXE是两种不同的攻击方式。

关键观点5: XXE漏洞的防御方式

防御XXE漏洞的主要方式是禁用外部实体。此外，还可以通过黑名单过滤等方式进行防御。

免责声明