XML外部实体注入


XXE (XML External Entity Injection), XML外部实体注入,当应用是通过用户上传的XML文件或POST请求进行数据的传输,并且应用没有禁止XML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞


运行
漏洞代码 - XMLReader

运行
漏洞代码 - SAXReader

运行
漏洞代码 - SAXBuilder

运行
漏洞代码 - DocumentBuilder
编码建议