xxe漏洞与xml语言相关知识总结

最新推荐文章于 2025-12-16 14:44:28 发布

原创最新推荐文章于 2025-12-16 14:44:28 发布 · 365 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#xml #安全 #网络

web安全专栏收录该内容

33 篇文章

订阅专栏

本文详细探讨了XML外部实体(XXE)漏洞，涉及漏洞原理、检测手段（包括白盒测试的函数追踪和黑盒测试的观察），以及主要利用方式——文件读取，通过PHP和Java的案例详细展示了如何查找和利用这种漏洞。

1.xxe漏洞

漏洞主要针对的是xml语言使用的，xml主要用于数据的传递和处理，主要还是数据在传输中没有进行一些过滤等等

2.xxe漏洞的寻找方法

白盒：功能追踪，关键函数追踪

黑盒：盲测

由于xxe漏洞的xml语言的特点，功能的范围很大，我们这里基本就只用关键函数追踪，我们可以直接搜索xml，或者搜索xml在不同语言中常用函数来追踪

黑盒情况下，我们可以通过观察数据的提交格式和数据包中content-type来确定，这个特点我们可以看案例一，就算没有这两个特点，我们仍然可以尝试一下，具体可以看案例二

3.主要利用方式是文件读取

4.案例

具体代码：案例一：xxe漏洞案例1-xxe lab for php-优快云博客

案例二：xxe漏洞案例2-在线靶场jarvisoj：9882-优快云博客

案例三：xxe案例三-phpshe-优快云博客

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小狗学士

关注关注

9
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【漏洞挖掘】——62、WEB-INF/web.xml 泄露

Fly_鹏程万里

10-20

2861

WEB-INF/web.xml信息泄露是一种常见的安全问题，通常发生在Web应用程序未被正确配置或管理的情况下，攻击者可以通过暴力破解或者其他手段访问WEB-INF目录下的web.xml文件从而获得Web应用程序的配置信息，例如:安全配置、数据库连接信息、API密钥等。

XXE漏洞详解

xcxhzjl的博客

11-18

3001

目录一、XML基础二、实体的分类 1、命名实体 2、字符实体 3、参数实体 4、外部实体三、XXE漏洞 1、XXE漏洞发生在哪里 2、怎么判断网站存在XXE漏洞 3、XXE漏洞的危害 4、怎样构建XXE漏洞 5、XXE漏洞的防御参考资料 XXE漏洞即外部实体注入攻击（XML External Entity）。一、XML基础 XML（eXtensible Markup Language）是一种结构性标记语言，在格式上类似于HTML。可用来标记数据，定义...

参与评论您还未登录，请先登录后发表或查看评论

XXE&XML利用检测绕过漏洞

qq_49714982的博客

08-28

303

XML：传输和储存格式类型XXE:XML的漏洞注入全称（xml external entity injection）

XML 相关漏洞风险研究

有价值炮灰

06-03

2154

使用了这么久 XML，但是对其内部细节却不甚了解，本文就来补全这个缺憾。

【WEB漏洞原理】XML&XXE利用检测绕过

过期的秋刀鱼

09-14

1612

XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XXE是XML的一个漏洞XXE产生根本原因：网站接受XML数据，没有对xml进行过滤。

JS读取XML文件形成树结构

qq_34307209的博客

06-13

2970

某日在做根据后台返回的XML字符串形成树状菜单，因为之前并没有怎么操作过XML文件，所以去求助了一下百度，奈何怎么也找不到符合我要求的答案。最后退而求其次，找到了根据XML文件形成树状菜单的示例，不过有蛮久过去了，已经找不到原来的文章地址在哪了，所以自己备忘一下。主要是一个JS插件，我直接附上代码吧。 /* JavaScript Document */ /*

XXE漏洞知识

2501_91578299的博客

06-09

1315

XXE 漏洞知识笔记一、XXE 漏洞简介全称：XML External Entity Injection（XML 外部实体注入）本质：当应用程序解析 XML 输入时，未禁止外部实体的加载，导致攻击者可利用自定义实体注入恶意内容，窃取敏感信息或执行系统命令。常见场景：使用 XML 格式进行数据传输或配置的系统（如 Web 服务、API 接口）。二、漏洞原理XML 实体概念内部实体：定义在 XML 文档内的实体（如外部实体：引用外部资源的实体，分为：本地文件引用远程 URL 引用攻击流程。

【XXE漏洞01】XML漏洞原理及实验

Fighting_hawk的博客

03-21

3130

1. 了解XXE的内容和原理。 2. 掌握XXE漏洞利用方法。 3. 掌握XXE漏洞的修改建议。

XXE漏洞总结

ma963852的博客

05-27

1111

搬运：未知攻焉知防——XXE漏洞攻防 - 博客 - 腾讯安全应急响应中心一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的元语言。 XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 DTD（文档类型定义）的作用是定义XML文档的合法构建模块。DTD可以再XML文档内部声明，也可以外部引用。内部声明DTD <根元素[声明元素]> 引用外部DTD <根元素 SY

XXE漏洞详解一文了解XXE漏洞

闵行小鱼塘

11-10

4191

本篇总结归纳XXE漏洞

第四节 XXE漏洞利用 - 任意文件读取-01

09-15

XXE漏洞是由于XML解析器对外部实体的解析不当所致，攻击者可以通过构建恶意XML文件来实现文件读取、命令执行、甚至服务器控制等恶意行为。在本节课程中，我们将讨论XXE漏洞的利用方法，特别是任意文件读取的实现。...

XXE漏洞

qi_SJQ_的博客

01-21

705

概念全称XML External Entity Injection，即xml外部实体注入漏洞，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。了解一些xml，我们知道xml是一种数据存储类型，用于传输，而html用于显示。 XML被设计为数据和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据传输工具。自己当初的学习笔记 XML与HTML的主要差异： XML被设计为传输和存储数据，其焦点是数据的内容。 HTML被设.

网络安全之XXE漏洞总结（pikachu靶场案例解析）

qq_61529962的博客

12-15

1558

xxe漏洞原理解析，php靶场案例，pikachu靶场

这句话是正确的还是错误的：XXE漏洞即XML外部实体攻击漏洞，在解析不可信XML时，可以使用开发语言提供的禁止解析DTDs防止XXE漏洞攻击

09-04

首先，用户的问题是关于判断一句话的正误："XXE漏洞即XML外部实体攻击漏洞，在解析不可信XML时，可以使用开发语言提供的禁止解析DTDs防止XXE漏洞攻击"。这句话的核心是：通过禁用DTDs（Document Type Definitions）...

XML Schema 日期/时间数据类型

csbysj2020的博客

12-11

499

datedateTimetimegYeargYearMonthgDaygMonthgMonthDayduration这些数据类型分别表示不同的日期和时间范围，适用于不同的应用场景。本文介绍了 XML Schema 中日期/时间数据类型的相关概念、类型、格式以及注意事项。通过了解这些知识，有助于我们在 XML 文档中正确地表示日期和时间数据，提高数据的一致性和准确性。

《MyBatis 从入门到上手：超全基础操作 + XML 配置指南》

最新发布

2501_93037119的博客

12-16

580

本文介绍了MyBatis的基础操作，主要包括日志打印、参数传递方式以及增删改查的实现方法。在日志打印方面，可以通过配置文件查看SQL执行详情；参数传递分为单普通类型参数和@Param别名两种方式。文章详细讲解了增删改查操作的实现，包括插入自增主键的处理、结果映射的三种方法（起别名、结果映射、驼峰命名转换），并对比了注解方式和XML方式的开发模式。最后，针对查询结果与实体类属性不匹配的问题，提供了多种解决方案。全文涵盖了MyBatis开发中的核心操作要点，为开发者提供了实用指导。

LVGL Pro XML 核心原理

u013134676的博客

12-11

957

XML（eXtensible Markup Language，可扩展标记语言）是一种通用的文本标记语言，用于结构化地存储和传输数据。XML 与 HTML 的区别HTML关注数据的"显示"——标签如<div><p>预定义了浏览器如何渲染内容XML关注数据的"结构和语义"——你可以自定义任意标签名，如<user><product>，用来表达数据含义，而不关心如何显示XML 的核心特性标签可自定义<lv_btn><lv_label>都是由使用者定义的树形结构：通过嵌套标签表达层级关系属性和文本内容。

Qt SCXML 模块详解

即刻启程：订阅博客，解锁嵌入式开发的第一行代码——点亮LED不只是开始，更是通向智能世界的钥匙！

12-15

784

Qt SCXML模块提供了对W3C标准状态图XML(SCXML)的支持，使开发者能通过XML文件定义复杂状态机。核心类QScxmlStateMachine负责解析SCXML文件、管理状态转换和执行动作。该模块支持可视化编辑（Qt Creator内置工具），适用于UI流程控制、协议实现、游戏AI等场景。优势包括标准化、可视化设计、逻辑解耦，但需注意对简单状态机可能带来不必要的复杂度。开发者通过加载.scxml文件、处理事件和连接状态信号即可实现状态机逻辑。

libxslt XSLT转换库：鸿蒙PC上的XML转换工具

hahjee的博客

12-16

869

本文介绍了为OpenHarmony平台适配的libxslt库（ohos-libxslt）的安装与使用方法。该库是基于libxml2的XSLT处理器，支持XSLT 1.0转换、XPath查询和多种输出格式转换。由于鸿蒙PC的安全限制，必须将预编译包打包为HNP（HarmonyOS Native Package）格式才能使用。文档详细说明了HNP包的打包流程，包括下载预构建包、创建安装目录、配置hnp.json文件等步骤，并对比了鸿蒙PC与开发板的不同使用方式。

"XXE漏洞分析与防御：深度剖析XML实体注入漏洞及防范措施

另外，关闭或限制对外部实体的解析，或者使用安全的XML解析器，也可以有效防范XXE漏洞的发生。此外，及时更新和维护系统，加强对系统的监控和日志记录也是防御XXE漏洞的有效手段。总之，XXE漏洞是一种常见的Web...