靶场及工具

• https://github.com/c0ny1/xxe-lab
• vulnhub.com
• XXEInjector（全自动攻击工具）
• Ninjustsu-v1系统
• www.cnblogs.com/bmjoker/p/9614990.html

什么是XML？参考文档

XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。

XML与HTML对比

XML被设计为传输和存储数据，其焦点是数据的内容。

HTML被设计为显示数据，其焦点是数据的外观。

XML旨在传输信息，HTML旨在传输信息。

XXE漏洞

XXE漏洞全称XML External Entity Injection，即外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁用外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。