XML注入分為兩大種:
1)結構型注入
2)實體
結構型,是因為沒校驗,使用者輸入直接當做代碼執行了。做轉碼就行了。轉碼那些,直接搜尋。
實體注入: XXE,内部實體注入;
其實就是引用,比如引用内網端口,SSRF. 搜尋内網檔案等
内部實體互相引用,可能會DOS攻擊。瘋狂占用伺服器的資源
DOS攻擊就是指的占用伺服器資源。導緻正常業務沒法動了。
XML注入分為兩大種:
1)結構型注入
2)實體
結構型,是因為沒校驗,使用者輸入直接當做代碼執行了。做轉碼就行了。轉碼那些,直接搜尋。
實體注入: XXE,内部實體注入;
其實就是引用,比如引用内網端口,SSRF. 搜尋内網檔案等
内部實體互相引用,可能會DOS攻擊。瘋狂占用伺服器的資源
DOS攻擊就是指的占用伺服器資源。導緻正常業務沒法動了。
![自己善良才能感覺美好[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)