我正在开发一个安卓应用android:minSdkVersion="14"在这个需要解析xml的应用程序中。为此，我正在使用这样的DOM解析器DocumentBuilderFactorydbFactory=DocumentBuilderFactory.newInstance();DocumentBuilderdBuilder=null;Documentdoc=null;try{dBuilder=dbFactory.newDocumentBuilder();}catch(ParserConfigurationExceptione){e.printStackTrace();}但是当检查代码

本文分享自华为云社区《【安全攻防】深入浅出实战系列专题-XXE攻击》，作者：MDKing。1基本概念XML基础：XML指可扩展标记语言（ExtensibleMarkupLanguage)，是一种与HTML类似的纯文本的标记语言，设计宗旨是为了传输数据，而非显示数据。是W3C的推荐标准。XML标签：XML被设计为具有自我描述性，XML标签是没有被预定义的，需要自行定义标签与文档结构。如下为包含了标题、发送者、接受者、内容等信息的xml文档。DTD：指文档类型定义(DocumentTypeDefinition)，通过定义根节点、元素（ELEMENT）、属性（ATTLIST）、实体（ENTITY）等

一、XXE是什么介绍XXE之前，我先来说一下普通的XML注入，这个的利用面比较狭窄，如果有的话应该也是逻辑漏洞如图所示：既然能插入XML代码，那我们肯定不能善罢甘休，我们需要更多，于是出现了XXEXXE(XMLExternalEntityInjection)全称为XML外部实体注入，从名字就能看出来，这是一个注入漏洞，注入的是什么？XML外部实体。(看到这里肯定有人要说：你这不是在废话)，固然，其实我这里废话只是想强调我们的利用点是 外部实体 ，也是提醒读者将注意力集中于外部实体中，而不要被XML中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了)，如果能注入外部实体并且成功解析的话，这

  前言：介绍： 博主：网络安全领域狂热爱好者（承诺在CSDN永久无偿分享文章）。殊荣：CSDN网络安全领域优质创作者，2022年双十一业务安全保卫战-某厂第一名，某厂特邀数字业务安全研究员，edusrc高白帽，vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长：对于技术、工具、漏洞原理、黑产打击的研究。C站缘：C站的前辈，引领我度过了一个又一个技术的瓶颈期、迷茫期。导读：面向读者：对于网络安全方面的学者。 本文知识点（读者自测）： （1）利用XXE检索文件（√）（2）利用XXE进行SSRF攻击（√）（3）盲XXE漏洞（√）（4）查找XXE注入的隐藏攻击面

xray——详细使用说明（一）_萧风的博客-CSDN博客_xray的使用xray——详细使用说明（二）_萧风的博客-CSDN博客一、xray简介xray是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:检测速度快。发包速度快;漏洞检测算法高效。支持范围广。大至OWASPTop10通用漏洞检测，小至各种CMS框架POC，均可以支持。代码质量高。编写代码的人员素质高,通过CodeReview、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。安全无威胁。xray定位为一款安全辅助评估

我们对我们的代码进行了安全审计，它提到我们的代码容易受到XML外部实体(XXE)攻击。ExplanationXMLExternalEntitiesattacksbenefitfromanXMLfeaturetobuilddocumentsdynamicallyatthetimeofprocessing.AnXMLentityallowsinclusionofdatadynamicallyfromagivenresource.ExternalentitiesallowanXMLdocumenttoincludedatafromanexternalURI.Unlessconfiguredt

XXE漏洞XXE全称为XMLExternalEntityInjection即XMl外部实体注入漏洞原理：XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致用户可以控制外部的加载文件，造成XXE漏洞。XXE漏洞触发点往往是可以上传xml文件的位置，没有对xml文件进行过滤，导致可加载恶意外部文件和代码，造成任意文件读取，命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害基础知识：XML用于标记电子文件使其具有结构性的标记语言，可以标记数据，定义数据类型，允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明，DTD文档类型定义、文档元素。DTD的作用是

一、XXE原理XXE(XMLExternalEntityInjection):XML外部实体注入，由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。某些应用程序允许XML格式的数据输入和解析，可以通过引入外部实体的方式进行攻击。构造恶意DTDXML约束简介二、XXE自查检查是否用到了XML解析功能，是否限制DTD功能可以查询是否使用了DocumentBuilderFactory、SAXReader、XMLInputFactory、XMLReader、XStream、SAXBuilder、SAXParserFactory、SAXTransformerFactory、Schem

作者名：Demo不是emo 主页面链接：主页传送门创作初心：一切为了她座右铭：不要让时代的悲哀成为你的悲哀专研方向：网络安全，数据结构每日emo：该怎么开口呢？今晚天气不错，但还是想你了目录 一：初识XXE漏洞1.XXE简介 2.XML概念二：XML语法简析1.XML基础语法2.XML实体 [1].XML的基本结构 [2].一般实体 [3].参数实体[4].预定义实体[5].内部实体和外部实体[6].实例演示 三：漏洞演示1.漏洞明析 [1].例一. [2].例二2.检测漏洞3.漏洞利用[1].直接外部实体注入 [2].间接外部实体注入 四：漏洞防范 一：初识XXE漏洞1.XXE简介  XXE

欢迎关注订阅专栏！WEB安全系列包括如下三个专栏：《WEB安全基础-服务器端漏洞》《WEB安全基础-客户端漏洞》《WEB安全高级-综合利用》知识点全面细致，逻辑清晰、结合实战，并配有大量练习靶场，让你读一篇、练一篇，掌握一篇，在学习路上事半功倍，少走弯路！欢迎关注订阅专栏！专栏文章追求对知识点的全面总结，逻辑严密，方便学习掌握。力求做到看完一篇文章，掌握一类漏洞知识。让读者简洁高效的掌握WEB安全知识框架，推开入门深造的大门。绝不为了追求文章数量，彰显内容丰富而故意拆散相关知识点。避免读者沉迷在无尽的技巧中而迷失进阶的道路！本系列的目标是授之以渔，而不仅仅是技巧的堆砌。每篇文章均配有大量靶场，