0x00、XXE漏洞 XXE漏洞全稱XML External Entity Injection 即xml外部實體注入漏洞，XXE漏洞發生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部文件和代碼，造成任意文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起Dos攻擊等危害 ...

0x00 XML基礎 在介紹xxe漏洞前，先學習溫顧一下XML的基礎知識。XML被設計為傳輸和存儲數據，其焦點是數據的內容，其把數據從HTML分離，是獨立於軟件和硬件的信息傳輸工具。 0x01 XML文檔結構 XML文檔結構包括XML聲明、DTD文檔類型定義（可選）、文檔元素 ...

本文由紅日安全成員： ruanruan 編寫，如有不當，還望斧正。 大家好，我們是紅日安全-Web安全攻防小組。此項目是關於Web安全的系列文章分享，還包含一個HTB靶場供大家練習，我們給這個項目起了一個名字叫 Web安全實戰 ，希望對想要學習Web安全的朋友們有所幫助。每一篇文章都是於基於漏洞 ...

XXE漏洞又稱XML外部實體注入（XML External Entity） 介紹XXE漏洞前先說一下什么是XML XML語言 XML用於標記電子文件使其具有結構性的標記語言，可以用來標記數據定義數據類型，是一種允許用戶對自己的標記語言進行定義的源語言 xml的特性 1：無行為：xml只 ...

XXE 參考文章 名稱 地址 一篇文章帶你深入理解漏洞之 XXE 漏洞 https://xz.aliyun.com/t/3357 Web Hacking 101 https ...

0x00 什么是XML 1.定義 XML用於標記電子文件使其具有結構性的標記語言，可以用來標記數據、定義數據類型，是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XM ...

一、網絡安全篇 TCP/IP協議初識 Linux操作系統基礎 網絡漏洞掃描與信息收集 口令攻擊 服務安全 日志安全 安全基線加固 防火牆vpn安全接入 網絡無線原理和安全防護 二、編程篇 初識Python Python網頁、網絡連接編程 Python多線程編程 ...

前言 對於xxe漏洞的認識一直都不是很清楚，而在我為期不長的挖洞生涯中也沒有遇到過，所以就想着總結一下，撰寫此文以作為記錄，加深自己對xxe漏洞的認識。 xml基礎知識 要了解xxe漏洞，那么一定得先明白基礎知識，了解xml文檔的基礎組成。 XML用於標記電子文件使其具有結構性的標記 ...