XXE (XML Enternal Entity Injection)
  XXE(XML外部实体注入):由于在解析XML时未限制对外部实体的处理,导致攻击者通过注入恶意XML数据,引发拒绝服务、文件读取、SSRF、命令执行等严重安全问题
  漏洞场景:当数据传输的Content-Type为text/xml或application/xml时,可以针对XML格式的请求进行黑盒测试,检测潜在的XXE漏洞。此外,在文件上传功能中,如果使用插件进行文件解析或预览(如上传Excel文件时),也可能导致文件中的XXE Payload被执行,引发安全风险

安全场景:禁用外部实体引用

禁用外部通用实体和外部参数实体的解析,进一步限制了攻击者的可能攻击面

tips
安全编码建议:
  1、禁用DTD实体引用、外部参数实体解析
  2、过滤关键词<!DOCTYPE>和<!ENTITY>,或者SYSTEM和PUBLIC
  3、使用安全的XML解析器或库:考虑使用像Jackson XML、JAXB等现代库,通常默认禁用不安全的功能,或者提供更好的安全性控制

安全代码

安全场景:用户输入过滤

黑名单检测关键词<!DOCTYPE>和<!ENTITY>

安全代码