0x00、XXE漏洞 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害 ...

0x00 XML基础 在介绍xxe漏洞前，先学习温顾一下XML的基础知识。XML被设计为传输和存储数据，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。 0x01 XML文档结构 XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素 ...

本文由红日安全成员： ruanruan 编写，如有不当，还望斧正。 大家好，我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供大家练习，我们给这个项目起了一个名字叫 Web安全实战 ，希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞 ...

XXE漏洞又称XML外部实体注入（XML External Entity） 介绍XXE漏洞前先说一下什么是XML XML语言 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言 xml的特性 1：无行为：xml只 ...

XXE 参考文章 名称 地址 一篇文章带你深入理解漏洞之 XXE 漏洞 https://xz.aliyun.com/t/3357 Web Hacking 101 https ...

0x00 什么是XML 1.定义 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XM ...

一、网络安全篇 TCP/IP协议初识 Linux操作系统基础 网络漏洞扫描与信息收集 口令攻击 服务安全 日志安全 安全基线加固 防火墙vpn安全接入 网络无线原理和安全防护 二、编程篇 初识Python Python网页、网络连接编程 Python多线程编程 ...

前言 对于xxe漏洞的认识一直都不是很清楚，而在我为期不长的挖洞生涯中也没有遇到过，所以就想着总结一下，撰写此文以作为记录，加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记 ...