本文讨论了XML外部实体（XXE）攻击的原理及防御措施，包括敏感文件泄露、服务端请求伪造（SSRF）、盲注XXE和远程代码执行（RCE）。防御策略包括禁用特定协议、过滤输入和监控日志，强调多层防护的重要性，尤其是针对非显式XXE入口点的安全策略。

本文介绍了本周知识大陆公开发布的10条优质资源，包括小米电动滑板生态系统的攻击和防御技术、抖音电商安全蓝军漏洞发现与治理实践、红队和蓝队之间的对抗过程、监听HTTP服务端口80的JavaScript脚本、敏感文件泄露的大规模搜寻方法、在PHP系统中注入SQL语句的方法、大型机器学习模型在各领域的安全实践、我国数据安全法规保障体系、防范SQL注入的安全措施。

瑞士IT服务提供商Xplain遭受网络攻击，导致数千份联邦政府敏感文件泄露。黑客组织Play勒索软件声称窃取了包含机密信息的文件，并在暗网上公开发布。调查发现约6.5万份文件被泄露，包括机密文件和登录凭据。调查结果将与联邦委员会共享。