综上所述,xxe漏洞就是允许了引入外部实体的加载,从而导致程序在解析xml的时候,可以加载恶意外部文件,从而造成文件读取等危害。 利用 2.1 文件读取(有回显) xxe-php靶场演示: 我们先看一下dologin.php代码 libxml_disable_entity_loader(false);函数意思就是不禁止外部实体加载;file_get_contents()函数,把整个文件...