A4-XML外部实体引用漏洞（XML External Entities，XXE）-软考在线

A4-XML外部实体引用漏洞（XML External Entities，XXE）



考试要求：熟悉

知识路径： > 网络信息安全概述 > 网络信息安全目标与功能 > 网站安全需求分析与安全保护工程 > Web应用漏洞分析与防护 > OWASP Top 10

许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。该漏洞的出现场景举例如下：

场景1：攻击者尝试从服务端提取数据。

场景2：攻击者通过将上面的实体行更改为以下内容来探测服务器的专用网络。

更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5