论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
漏洞
[28781] 2021-02-24_利用XML外部实体注入XXE攻击漏洞
文档创建者:
s7ckTeam
浏览次数:
2
最后更新:
2025-01-19
漏洞
2 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-58
6万
主题
-6万
回帖
-58
积分
管理员
积分
-58
发消息
2021-02-24_利用XML外部实体注入XXE攻击漏洞
利
用
X
M
L
外
部
实
体
注
入
X
X
E
攻
击
漏
洞
S
e
c
u
r
e
L
a
y
e
r
7
O
t
s
安
全
2
0
2
1
-
0
2
-
2
4
大
家
好
,
在
这
个
博
客
中
,
我
们
将
了
解
什
么
是
X
X
E
攻
击
注
入
,
并
展
示
了
一
些
基
本
的
模
型
攻
击
,
最
后
,
本
文
总
结
了
防
止
X
M
L
外
部
实
体
漏
洞
的
技
术
。
从
技
术
上
讲
,
X
M
L
外
部
实
体
X
X
E
是
一
个
漏
洞
,
它
使
黑
客
能
够
从
应
用
程
序
服
务
器
的
内
部
文
件
系
统
中
查
找
或
查
看
数
据
,
并
可
以
利
用
此
故
障
或
安
全
漏
洞
来
评
估
目
标
应
用
程
序
服
务
器
的
内
部
端
口
,
即
服
务
器
端
侧
面
请
求
伪
造
(
S
S
R
F
)
攻
击
。
每
天
都
有
大
量
的
金
融
客
户
在
使
用
X
M
L
格
式
器
在
服
务
器
和
浏
览
器
之
间
传
递
信
息
,
这
是
日
常
工
作
。
很
大
一
部
分
开
发
人
员
都
不
知
道
他
们
是
否
允
许
应
用
程
序
中
使
用
X
M
L
外
部
实
体
X
X
E
的
问
题
。
X
M
L
格
式
化
程
序
的
用
途
以
及
与
格
式
化
程
序
的
用
途
以
及
与
H
T
M
L
有
何
不
同
?
有
何
不
同
?
X
M
L
是
一
种
可
扩
展
的
标
记
语
言
,
用
于
存
储
和
运
送
数
据
,
而
H
T
M
L
用
于
格
式
化
和
显
示
数
据
。
X
M
L
的
基
本
语
法
的
基
本
语
法
默
认
默
认
X
M
L
语
法
语
法
X
X
E
攻
击
场
景
攻
击
场
景
想
象
一
下
,
应
用
程
序
中
有
一
个
搜
索
框
来
查
找
机
票
预
订
。
客
户
端
在
该
字
段
中
输
入
关
键
字
的
任
何
时
候
,
都
会
将
X
M
L
格
式
的
数
据
发
送
到
应
用
程
序
服
务
器
。
如
果
我
们
在
B
u
r
p
S
u
i
t
e
中
捕
获
到
该
请
求
,
则
该
请
求
如
下
图
所
示
:
基
本
基
本
X
M
L
格
式
格
式
检
测
检
测
X
X
E
攻
击
攻
击
通
过
以
下
请
求
,
让
我
们
看
一
下
该
应
用
程
序
是
否
容
易
受
到
X
X
E
攻
击
。
检
测
X
X
E
如
上
图
所
示
,
我
们
已
经
有
效
地
区
分
了
X
X
E
攻
击
端
点
。
现
在
我
们
将
利
用
这
一
点
。
下
图
显
示
了
上
述
请
求
的
格
式
错
误
,
以
便
从
后
端
应
用
程
序
服
务
器
恢
复
敏
感
信
息
。
检
索
敏
感
信
息
的
请
求
格
式
错
误
有
效
负
载
说
明
有
效
负
载
说
明
有
效
负
载
的
详
细
说
明
有
效
负
载
的
详
细
说
明
X
M
L
外
部
实
体
攻
击
的
类
型
外
部
实
体
攻
击
的
类
型
泄
露
机
密
数
据
:
泄
露
机
密
数
据
:
攻
击
者
可
以
检
索
敏
感
文
件
,
例
如
/
/
e
t
c
/
p
a
s
s
w
o
r
d
等
。
拒
绝
服
务
:
拒
绝
服
务
:
攻
击
者
可
以
执
行
拒
绝
服
务
以
导
致
应
用
程
序
服
务
器
的
可
用
性
。
服
务
器
端
请
求
伪
造
:
服
务
器
端
请
求
伪
造
:
攻
击
者
可
以
访
问
外
部
环
境
不
可
用
的
内
部
文
件
系
统
。
端
口
扫
描
:
端
口
扫
描
:
攻
击
者
可
以
执
行
目
标
应
用
程
序
服
务
器
的
内
部
端
口
扫
描
。
X
X
E
攻
击
漏
洞
的
缓
解
措
施
:
攻
击
漏
洞
的
缓
解
措
施
:
禁
用
外
部
实
体
。
O
W
A
S
P
T
O
P
1
0
指
定
了
缓
解
技
术
,
用
于
禁
用
和
保
护
应
用
程
序
免
受
X
X
E
攻
击
。
参
考
:
参
考
:
h
t
t
p
s
:
/
/
x
m
l
w
r
i
t
e
r
.
n
e
t
/
x
m
l
_
g
u
i
d
e
/
d
o
c
t
y
p
e
_
d
e
c
l
a
r
a
t
i
o
n
.
s
h
t
m
l
h
t
t
p
s
:
/
/
w
w
w
.
w
3
s
c
h
o
o
l
s
.
c
o
m
/
x
m
l
/
x
m
l
_
d
t
d
.
a
s
p
h
t
t
p
s
:
/
/
x
m
l
w
r
i
t
e
r
.
n
e
t
/
x
m
l
_
g
u
i
d
e
/
e
n
t
i
t
y
_
d
e
c
l
a
r
a
t
i
o
n
.
s
h
t
m
l
h
t
t
p
s
:
/
/
w
w
w
.
t
u
t
o
r
i
a
l
s
p
o
i
n
t
.
c
o
m
/
d
t
d
/
d
t
d
_
e
n
t
i
t
i
e
s
.
h
t
m
h
t
t
p
s
:
/
/
g
i
t
h
u
b
.
c
o
m
/
s
w
i
s
s
k
y
r
e
p
o
/
P
a
y
l
o
a
d
s
A
l
l
T
h
e
T
h
i
n
g
s
/
t
r
e
e
/
m
a
s
t
e
r
/
X
X
E
%
2
0
I
n
j
e
c
t
i
o
n
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
浏览过的版块
云安全
发表
漏洞