&emsp;&emsp;XXE（XML External Entity Injection）即xml外部实体注入 &emsp;&emsp;当程序在解析XML输入时，允许引用外部实体，导致能够引用一个外部恶意文件，可导致执行系统命令、内网端口探测、文件读取，攻击内网服务、dos攻击等。以下用vwapp漏洞靶场进行读取文件的演示。 &emsp;&emsp;要对XXE漏洞进行验证，可以用BWAPP这款漏洞演示平台，buggy web Application是一个集成了web常见漏洞的开源web应用程序，目的是帮助安全爱好者及程序员研究安全漏洞，其中已经包含了100多种web漏洞 下载及安装教程： [BWAPP：一款非常好用的漏洞演示平台](http://www.freebuf.com/sectool/76885.html) 安装好之后，Choose your bug 选择 XML External Entity Attacks (XXE)  Set your security level: 选择low  点击any bugs? 使用burpsuite抓包，在request中看到传输的xml数据：   xxe-1.php页面在向xxe-2.php页面传输数据过程中，其中的xml数据是可控的，也就是说可以构造恶意数据进行传输，添加一个外部实体在XML数据中进行实体调用，从而进行XXE攻击。 payload： ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE copyright [ <!ENTITY attack SYSTEM "file:///etc/passwd"> ]> <reset> <login>&attack;</login> <secret>xxx</secret> </reset> ```  xxe的修复与防御： 1、使用开发语言提供的禁用外部实体的方法 PHP： ``` libxml_disable_entity_loader(true); ``` JAVA: ``` DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false); ``` Python: ``` from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False)) ``` 2、过滤用户提交的XML数据 过滤关键词：<!DOCTYPE，<!ENTITY，SYSTEM，PUBLIC。