English
•
Deutsch
•
Français
•
Nederlands
•
Español
•
Italiano
•
Português
•
Русский
•
日本語
•
한국어
•
हिन्दी
•
తెలుగు
•
मराठी
•
தமிழ்
•
Türkçe
•
Ελληνικά
•
Polski
•
Čeština
•
Magyar
•
Svenska
•
Dansk
•
Suomi
•
Українська
•
العربية
•
Indonesia
XML External Entity (XXE) Attack
XML 外部实体(XXE)攻击是一种网络攻击,它利用 XML 处理器解析 XML 文件时的脆弱性。攻击者可以将恶意代码嵌入 XML 文件中,并利用实体引用来调用外部实体,这些实体可以是本地文件、远程文件或远程 URL,以从外部读取数据。攻击者可以通过这种方式窃取敏感信息,执行拒绝服务攻击或其他恶意行为。
XXE 攻击通常是通过包含恶意的 DTD(文档类型定义)文件或利用不安全的 XML 实现来实现的。攻击可在各种应用程序中进行,其中包括 Web 应用程序,SOAP 和 REST Web 服务,以及任何使用 XML 格式的文档。
为了防止 XXE 攻击,应用程序开发人员应该使用安全的解析器和禁用外部实体。此外,应该审核所有输入的 XML 数据,以确保其中不包含恶意代码。