XML可扩展符号言语，被规划用来传输和存储数据。其形式多样

1.文档格局(OOXML，ODF,PDF,RSS,DOCX...)

2.图片格局(SVG,EXIF Headers,...)

3.配置文件(自界说姓名，一般是.xml)

4.网络协议(WebDAV,CalDAV，XMLRPC,SOAP,REST,XMPP,SAML,XACML,...)

某些在XML中被规划出来的特性，比方 XML schemas(遵从XML Schemas 标准)和documents type definitions(DTDs)都是安全问题来历。纵然被揭露的评论了上十年，仍是有一大批一大批的软件死在针对XML的进犯上。

其实XML实体机制很好了解，能够直接用“转义”来了解：%和&foo从原始含义上来说是相同的，仅仅后者是由咱们自己来界说恣意内容。

拿DTD来说，DTD中能声明实体来界说变量(或是文字类的宏)，以便在接下来的DTD或许XML文档中运用。一般实体在DTD中界说，用来拜访内部资源，获取里边的文字并用来替换自己的xml文档，而外部实体用来拜访外部资源(也就是说，这些资源能来自本地计算机，也能够是长途主机)。在解析外部实体的过程中，XML的分析器或许会运用很多网络协议和服务(DNS,FTP,HTTP,SMB等等)这取决于URLs里边被指定成什么。外部实体用来处理那些实时更新的文档是很有用的，但是，进犯也能在解析外部实体的过程中发作。进犯手法包括：

读取本地文件(或许包括灵敏信息 /etc/shadow)

内存侵略

恣意代码履行

拒绝服务

本文将对长期以来呈现的xml进犯办法进行一个总结。

0x01 初识XML外部实体进犯，根据外部实体的文件包括，最早被提出的XML进犯办法是运用外部实体的引证功能来完成恣意文件读取：

<?xml version="1.0" encoding="utf-8"?>  <!DOCTYPE updateProfile [   <!ENTITY file SYSTEM "file:///c:/windows/win.ini"> ]>  <updateProfile> <firstname>Joe</firstname> <lastname>&file;</lastname>    ...   </updateProfile> 

但是这种读取是有约束的，由于xml的解析器要求被引证的数据是完好的，咱们运用一个例子来解说什么是完好。

<?xml version="1.0" encoding="utf-8"?>  <!DOCTYPE simpleDocument [   <!ENTITY first "<my">  <!ENTITY second "tag/>"> ]>  <simpleDocument>&first;&second;</simpleDocument> 

[1] [2] [3] [4] [5]  黑客接单网