XXE(XML External Entity Injection),即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时, 没有禁止外部实体的加载 ,导致可加载恶意外部文件,造成文件读取、命令执行、攻击内网网站等危害。
攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,服务器端对网页传来的内容无条件的信任
给客户端提交一个xml实体内容,获取本地的hosts文件DNS解析内容
浙公网安备 33010602011771号