在解析XML文档的过程中,关键字’SYSTEM’会告 诉XML解析器,entityex 实体的值将从其后的URI中读取。5、有些XML解析库支持列目录,攻击者通过列目录、读文件,获取帐号密码后进一步攻击,如读。攻击者通过构造恶意的外部实体,当解析器解析了包含“恶意”外部实体的XML类型文。因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现。攻击者强制XML解析器去访问攻击者指定的本地系统上或是远程系统上的资源内容。进行敏感字符的过滤,从而可以造成命令执行,目录遍历等。
