+
xxe漏洞
原理
XXE漏洞即xml外部实体注入漏洞,发生在应用程序解析 XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口、 攻击内网网站、发起dos攻击等危害。
流量特征
他的流量特征通常会有<?xml version
=
"1.0" encoding
=
"UTF-8"
?
>
修复
禁止开发语言提供的禁用外部实体的方法
过滤用户提交的ml数据
不容许zml中含有自己定义的DTD