摘要：一开始以为是sql 抓包后是这个 这个 Accept: application/xml, text/xml, */*; q=0.01 有xxe的嫌疑，什么是xxe，就是外部实体注入漏洞。 xml文件中可以中间有个dtd，用来定义一些xml的‘数据结构’，没有过滤就可以引入外部实体，这里进行一下测试 阅读全文