2018Web攻防训练营XXE-防御策略1.XXE漏洞消亡原因2.XXE漏洞防御课程内容01XXE漏洞消亡原因XXE漏洞消亡原因http://www.linuxfromscratch.org/blfs/view/cvs/general/libxml2.htmllibxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。02XXE漏洞防御XXE漏洞防御1、使用开发语言提供的禁用外部实体的方法PHP:libxml_disable_entity_loader(true);JAVA:DocumentBuilderFactorydbf=DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);Python:fromlxmlimportetreexmlData=etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))2、过滤用户提交的XML数据关键词:
