XXE XML外部实体注入测试

概述

XXE（XML External Entity）注入是一种利用XML解析器处理外部实体的漏洞。本技能提供XXE漏洞的检测、利用和防护方法。

漏洞原理

XML解析器在处理外部实体时，可能读取本地文件、进行SSRF攻击或导致拒绝服务。常见于：

• XML文档解析
• SOAP服务
• Office文档（.docx, .xlsx等）
• SVG图片
• PDF文件

测试方法

1. 识别XML输入点