简介

1
2
##XML介绍
XML(Extensible Markup Language)是一种类似于 [HTML](https://developer.mozilla.org/zh-CN/docs/Glossary/HTML),但是没有使用预定义标记的语言。因此,可以根据自己的设计需求定义专属的标记。这是一种强大将数据存储在一个可以存储、搜索和共享的格式中的方法。最重要的是,因为 XML 的基本格式是标准化的,如果你在本地或互联网上跨系统或平台共享或传输 XML,由于标准化的 XML 语法,接收者仍然可以解析数据。

XML外部实体注入简称XXE漏洞,是一种针对应用程序处理XML数据的方式的攻击。在这种攻击中,攻击者利用应用程序对XML输入的处理不当,引入或“注入”恶意内容。这可能导致未授权的数据访问、服务拒绝攻击甚至执行远程代码。

XXE漏洞攻击

如果服务端处理XML的代码中没有限制XML引入外部实体,那么创建一个包含外部实体的XML时,外部实体的内容就会被执行。

1
采用XML格式时,报文中的mime会带有XML类型