常见的漏洞--XXE

（由于要找工作了，所以决定整理一下常见漏洞的知识，以下通过借鉴一些大佬的文档或者博客从而整合，当然也包括一些以往自己的经验。菜鸟一个，请各位大哥指点。）

xml指的是可扩展标记语言。

DTD（文档类型定义）的作用是定义xml文档的合法构建模块。

DTD一般认为有两种引用或声明方式：

1.内部DTD：即对xml文档中的元素、属性和实体的DTD的声明都在XML文档中。

2.外部DTD：即对XML文档中的元素、属性和实体的DTD的声明都在一个独立的DTD文件中。

XXE的利用：

任意文件读取、SSRF、DOS攻击（如果XML解析器尝试使用/dev/random文件的内容来替代实体，则会使得服务器unix系统崩溃）、远程命令执行

修复建议：

为了避免XXE ，应为XML代理、解析器或读取器设置下面的属性：

factory.setFeature(“http://xml.org/sax/features/external-general-entities”,false);

factory.setFeature(“http://xml.org/sax/features/external-parameter-entities”,false);

如果不需要inline doctype声明，可以用以下的属性将其完全禁用。

factory.setFeature(“http://apache.org/xml/features/disallow-doctype-decl”,true);

如何XXE？

基本需要两个条件：1.支持DTD 2.数据可操控

摒弃需要数据有回显，我们才能看到。对于没有回显的情况，我们引入OOB（out of band）数据外带。

就是通过自己写一个页面用来接受目标服务器传回的内容，可以直接使用一个开源工具xxeserver。