XXE漏洞原理及实例分析 0x00 漏洞原理 1.背景知识 XML（eXtensible Markup Language）是一种标记语言，用于描述和传输结构化的数据和信息。它被设计用来在不同系统之间交换数据，并且可以在不同的应用程序中共享和解释。 在解析外部实体的过程中，XML解析器可以根据URL中指定的方案（协议）来查询各种网络协议和服务（DNS，FTP，HTTP，SMB等）。 外部实体对于在文档中创建动态引用非常有用，这样对引用资源所做的任何更改都会在文档中自动更新。 但是，在处理外部实体时，可以针对应用程序启…

0x01 概述 Quartz是一个功能丰富的开源作业调度库，可以集成到几乎任何Java应用程序中——从最小的独立应用程序到最大的电子商务系统。Quartz可以用于创建简单或复杂的计划，以执行数十个、数百个甚至数以万计的作业；这些作业的任务被定义为标准的Java组件，可以执行几乎任何你编程的任务。Quartz调度器包含许多企业级功能，例如对JTA事务和集群的支持。 笔者通过对数百个真实项目引入组件的分析选出了Quartz组件的常见漏洞进行分析。本次分析的是CVE-2019-13990。该漏洞是由于XMLSchedul…