2018Web攻防训练营DTD快速入门1.DTD声明类型2.DTD数据类型3.DTD实体介绍4.XML注入产生原理课程内容01DTD声明类型DTD声明类型内部的DOCTYPE声明:]>ToveJaniReminderDon'tforgetmethisweekendDTD声明类型外部文档声明:假如DTD位于XML源文件的外部,那么它应通过下面的语法被封装在一个DOCTYPE定义中:ToveJaniReminderDon'tforgetmethisweekend!note.dtd02DTD数据类型DTD数据类型PCDATA的意思是被解析的字符数据(parsedcharacterdata)。PCDATA是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。CDATA的意思是字符数据(characterdata)。CDATA是不会被解析器解析的文本。在这些文本中的标签不会被当作标记来对待,其中的实体也不会被展开03DTD实体介绍DTD实体介绍实体是用于定义引用普通文本或特殊字符的快捷方式的变量内部实体:外部实体:04XML注入产生原理XML注入产生原理XXE漏洞全称XMLExternalEntityInjection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。1.DTD声明类型2.DTD数据类型3.DTD实体介绍4.XML注入产生原理总结再见欢迎关注Web安全训练营课程
