深入了解 XXE 注射
为了揭开这个漏洞的神秘面纱,我将分解XXE的工作原理、利用XXE漏洞的一些方法,并介绍SRT提交的两个真实世界的XXE攻击(使用经过编辑的数据来保护客户端和SRT身份)。对我们来说更重要的是,它也是XML结构的,这使得它可能容易受到XXE的攻击。我们将修改前面的示例以反映这一点。旁注如果此示例中的各种alpha/bravo/charlie变量引用令人困惑,请了解执行相同XXE攻击的各种方法,每种方法都是为了绕过Web过滤器或安抚挑剔的XML解析器。...
