XML、DTD、文件包含函数、一些伪协议
https://github.com/zhuifengshaonianhanlu/pikachu
https://github.com/c0ny1/xxe-lab
有XML传输的地方(XXE)、有引用外部文件的地方(文件包含)
利用XML语法结构,使用相关的协议来进行漏洞利用。
包含某一个文件
暂无POC编写,需手工验证
1.禁止使用外部实体,例如libxml_disable_entity_loader(true)
2.过滤用户提交的XML数据,防止出现非法内容
1.关闭危险的文件打开函数
2.过滤特殊字符,如:.(点)、/(斜杠)、(反斜杠)
3.使用Web检测文件内容
原文:https://www.cnblogs.com/lyxsalyd/p/13355854.html