从XML相关一步一步到XXE漏洞 CTF专场

从XML相关一步一步到XXE漏洞

0x00 前言想学XXE漏洞,XXE(XML External Entity Injection)全称为XML外部实体注入。XML?!发现我不会,简单看了一下基础知识,发现XML还可能存在XML注入和...
阅读全文
XXE 注入指南 安全文章

XXE 注入指南

XXE简介XXE是对应用程序执行的一种攻击,以解析其XML输入。在此攻击中,包含对外部实体的引用的XML输入由配置较弱的XML解析器处理。像跨站点脚本(XSS)中一样,我们尝试类似地注入脚本,在此我们...
阅读全文
Xstream 漏洞复现 安全文章

Xstream 漏洞复现

Xstream 漏洞复现一、Xstream 简介XStream是一个轻量级、简单易用的开源Java类库,用来将对象序列化成XML (JSON)或反序列化为对象;反之亦然(即:可以轻易的将Java对象和...
阅读全文