禁用XXE处理漫谈
内容简介:
前言
近期准备面试题时,XXE漏洞防范措施(或者说修复方式)在一些文章中比较简略,
故本文根据研究进行总结,作为技术漫谈罢了。
简述
XXE漏洞
XXE(XML外部实体注入),程序解析XML数据时候,同时解析了攻击者伪造的外部实体。XML用途是为了跨平台语言传输数据。常常用于WEB开发等
XXE漏洞攻防情况
通常来说,XML文档生成时会常用到XXE和内部实体。因此开发团队根据项目需求去进行防范XXE漏洞。
然而实际情况是,即使采取了防范措施(错误的方法),XXE漏洞仍然可以大行其道。
有一个案例,某开发团队针对CVE-2018-20318漏洞进行了及时的修复,依照的是官方的修复方案:
禁止实体...
查看原文
暂无评论...