English
•
Deutsch
•
Français
•
Nederlands
•
Español
•
Italiano
•
Português
•
Русский
•
日本語
•
한국어
•
हिन्दी
•
తెలుగు
•
मराठी
•
தமிழ்
•
Türkçe
•
Ελληνικά
•
Polski
•
Čeština
•
Magyar
•
Svenska
•
Dansk
•
Suomi
•
Українська
•
العربية
•
Indonesia
XML Entity Expansion (XEE) Attack
一个常见的XML安全漏洞是实体扩展攻击(XML Entity Expansion,XEE攻击)。这是通过在XML中使用实体引用,攻击者试图使解析器加载其本身创建的实体来占领文件系统,使应用程序崩溃或滥用CPU资源。
攻击者可以使用DTD(Document Type Definition)来定义实体,或者使用外部实体或实体参数实现攻击。如果应用程序允许DTD和外部实体,攻击者可以使用公共实体和参数实体来执行攻击。
为了防止XEE攻击,可以禁用DTD或外部实体处理、限制公共实体和参数实体定义、使用白名单来验证文档,或使用安全的XML解析器等方法。