大黑客必知必会的xxe攻击漏洞，带你了解黑客的世界 _xxe攻击

1、xxe攻击漏洞的简介
何为XXE漏洞？XXE是指xml外部实体攻击， Xxe漏洞全称xml external entity injection即xml外部实体注入漏洞， xxe漏洞发生在应用程序解析xml输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。那么问题来了， xml又是什么？？？
xml是一个可扩展标记语言，标准通用标记语言的子集，是一种用于标记电子文件使其具有结构性的标记语言。在电子计算机中，标记指计算机所能理解的信息符号，通过此种标记，计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。它非常适合万维网传输，提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。是Internet环境中跨平台的、依赖于内容的技术，也是当今处理分布式结构信息的有效工具。早在1998年， W3C就发布了XML1.0规范，使用它来简化Internet的文档信息传输
喜欢更多知识内容可以关注微信公众号:安界网
2、xml基础
1)、 xml介绍以及用途
xml被设计用来传输和存储数据，它和html最大的区别在html是用来格式和显示数据，而xml是用来传输和存储数据，对比html它是一种层次和嵌套结构，而xml文档形成了一种树结构，它从(文档)"根部"开始(出发) ，一直扩展到"枝叶" 。Xml允许创作者定义自己的标签和自己的文档结构，也就是说咱们可以自己去自定义树的结构以及树上面节点的名称，也就是对应的这个元素。
这个一个简单的一个xml ，首先第一行它给出了xml的版本是1.0,和xml的编码是utf-8 。

文章插图

接下来就是xml的根节点以及下属节点,<to>就是一个节点，里面包含了对应的值，就相当于树状结构当中是这样一个结构

文章插图

以下是xml的树状结构图，在根部是note ， note下有no节点、from节点、heading节点、body节点

文章插图

2)xml语法规则
(1)、所有的xml元素(树的节点)都必须有一个关闭标签，否则会出现错误无法解析xml文件
(2)、 Xml标签对大小写敏感，在html当中大小写是不敏感的
(3)、 Xml必须正确嵌套，不能说咱们一这里写个<p1>这样一个标签，在另外一方写个<p2>标签，然后用<p1>闭合该标签，最后又写个<p2> ，那这个时候，它就是个错误的格式，咱们必须嵌套，而不能一个标签嵌套了另外一个标签
(4)、 Xml属性值必须加引号，比如说有个p标签，标签里面有个a属性，属性里面有对应的值，那么这个sa值就是需要加引号括起来，如果没有就会报错，然后用标签闭合， 
(5)、实体引用比如说的这些属性中以及对应的值中会出现大于和小于等一些符号，这些符号在xml当中是有聚体含义的，咱们必须使用xml对应的实体进行对应的表示，比如说小于号对应的就是lt后对应的符号，大于号就是gt后对应的符号。
(6)、在xml中，空格会被保留比如说中的p标签和p的结束标签，在中间如果有A(空格)B ，那这个时候A和B之间的空格就会被保存。