0x00XXE漏洞介绍：背景：2018-7-4微信支付SDK漏洞（XXE漏洞），攻击者可以获取服务器中目录结构，文件内容，eg：代码，各种私钥。敏感数据泄露0x01什么是xxe漏洞：XXE（XMLExternalEntityinjection）XML外部实体注入漏洞，如果XML文件在引用外部实体时候，可以沟通构造恶意内容，可以导致读取任意文件，命令执行和对内网的攻击，这就是XXE漏洞.XMLExtwrnalEntity,也就是XML外部实体注入攻击漏洞存在于XML中外部漏洞的条件实体通过SYStem加载外部资源DTD也可以通过外部应用ENtity实体：漏洞的具体位置变量外部引用必须被XML解释

前言近期准备面试题时，XXE漏洞防范措施（或者说修复方式）在一些文章中比较简略，故本文根据研究进行总结，作为技术漫谈罢了。简述XXE漏洞XXE（XML外部实体注入），程序解析XML数据时候，同时解析了攻击者伪造的外部实体。XML用途是为了跨平台语言传输数据，常常用于WEB开发等。XXE漏洞攻防情况通常来说，XML文档生成时会常用到XXE和内部实体。因此开发团队根据项目需求去进行防范XXE漏洞。然而实际情况是，即使采取了防范措施（错误的方法），XXE漏洞仍然可以大行其道。有一个案例，某开发团队针对CVE-2018-20318漏洞进行了及时的修复，依照的是官方的修复方案：禁止实体扩展引用，dbFa

前言近期准备面试题时，XXE漏洞防范措施（或者说修复方式）在一些文章中比较简略，故本文根据研究进行总结，作为技术漫谈罢了。简述XXE漏洞XXE（XML外部实体注入），程序解析XML数据时候，同时解析了攻击者伪造的外部实体。XML用途是为了跨平台语言传输数据，常常用于WEB开发等。XXE漏洞攻防情况通常来说，XML文档生成时会常用到XXE和内部实体。因此开发团队根据项目需求去进行防范XXE漏洞。然而实际情况是，即使采取了防范措施（错误的方法），XXE漏洞仍然可以大行其道。有一个案例，某开发团队针对CVE-2018-20318漏洞进行了及时的修复，依照的是官方的修复方案：禁止实体扩展引用，dbFa