XML外部实体注入 漏洞案例

XXE (XML External Entity Injection), XML外部实体注入,当开发人员配置其XML解析功能允许外部实体引用时,攻击者可利用这一可引发安全问题的配置方式,实施任意文件读取、内网端口探测、命令执行、拒绝服务等攻击。

运行
漏洞代码 - XMLReader


运行
漏洞代码 - SAXReader


运行
漏洞代码 - SAXBuilder
运行
漏洞代码 - DocumentBuilder


运行
漏洞代码 - Unmarshaller