江湖秘笈：好好的XML却被黑客盯上 难道说低调也是一种无法被原谅的错误？

一天一点

Hello，亲爱的看官们，今天是周日了，虽然早起的天气中充满了令人厌烦的雾霾，但到了中午时分天空还是比较晴朗和蔚蓝的，雾霾方面也相对减少了很多很多。

整体来讲，今天还是一个非常不错的天气，特别是在这温差突变的环境下，非常适合考虑就近散步、畅游公园等。

顽

童

八

卦

话说e品小顽童自从转入幕后策划人开始，就真的当起了领导似的，整日不见人，整日没人知道她在做什么。

不过，据可靠小道消息获知，近期e品小顽童买了个理发用的推子，见人就抓，还要考虑进行形象革新，看似一个不起眼的举动，却吓得众工作人员不敢上前来。

这是为啥嘞，原来是小顽童不知发了什么神经，居然想学习当理发师，所以才有了如此令人尴尬的一幕。

不过好在目前还没有人主动充当试验品，所以，小顽童的理发师计划也只能暂时告一段落啦。

好啦，说过一个小小的周末八卦之后，我们开始进入今天的技术内容分享。

被黑客盯上的XML

在昨天的内容中，2 cats大侠我稀里糊涂的为看官们分享了一篇有关恶意文件上传的测试前准备工作，说实话，在内容分享后我有些后悔，因为内容实在有些乱，甚至有不少看官看过后向栏目组发来投诉信，说这是最严重的一次恶意划水行为。

对此，2 cats大侠我只得表示歉意，真的很对不住，由于太着急，又加上时间比较晚，所以说的有些乱，以后有机会一定重新给看官们梳理下。

XML是什么？

继昨天的内容后，今天我们要继续下一个话题，XML相关的信息知识。

众所周知，XML作为Web或应用系统中比较重要的文档，主要作用于描述或数据结构的展示。

例如HTML是如何通过XML来进行实现的，DNS又是如何通过XML进行解析等。

可能看到这里后，看官们会觉得XML是不是与Host一样呢？不然，它们二者之间虽然有着一定关系，但却并不是一样的文件类型。

在XML中有一类为实体性质内容，经常被用于数据结构的描述，它们当中的一些文档是可以直接多系统文件进行读取或执行的命令模式。

这使得一些高级黑客在进行测试时会以XML作为主攻目标来进行相关漏洞测试工作。像有名的XML外部实体注入漏洞便是对服务器中可执行代码进行攻击的种类之一。

实验演示

1

这是一张用于实验使用的Web应用程序XML实体类文档的内容。在里面我们可以看到很多高价值性信息。

然后，我们这时只要使用XML外部实体注入攻击的方式，就可以得到系统中的任何文件。当然，这是有前提的，那就是这些被读取的文件需要在Web服务器的运行环境内可被用户读取才行。

2

例如上面这张图，这就是在XML外部实体注入漏洞为背景的前提下，将Web服务器中的XML文件曝光出来，然后在从中拿到想要、需要或待验证的信息。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

Believe

e品江湖

不失初心 不忘初衷

长按扫码 加关注！