XXE漏洞1.概念XXE(XML External Entity Injection) 全称为 XML 外部实体注入2.语法XML 指可扩展标记语言(EXtensible Markup Languag...
03月30日23 views评论id
文档
对于XXE的理解
03月30日23 views评论id
文档
03月30日23 views评论id
文档
Offeice文档XXE
一、前置知识 在微软2007之后,Office文件名都添加了 x,本质上都是个xml文件,可以使用 file 或 unzip 等命令查看。 $ file office_xxe.xlsx office_...
03月15日27 views评论document
xxe
CVE-2022-35741 Apache CloudStack SAML XXE注入
前言最近爆了好多洞,看到有个XXE注入,正好前段时间刚分析完ZOHO那个XXE正好分析一波环境搭建跟着官网安装,直接放弃,最后找到了docker的镜像,直接docker搭起来,不过在docker进行远...
03月13日42 views评论stack
xxe
禁用XXE处理漫谈
前言近期准备面试题时,XXE漏洞防范措施(或者说修复方式)在一些文章中比较简略,故本文根据研究进行总结,作为技术漫谈罢了。简述XXE漏洞XXE(XML外部实体注入),程序解析XML数据时候,同时解析了...
03月10日55 views评论xxe
xxe漏洞
记某个认证小靶场
因为绝大部分非常简单,在我的公众号前期文章中就能找到答案,所以这里大部分题型都只给出题目,这些你会做还是不会做看题目基本就知道了。CSRF之钓鱼修改管理员密码。SSRF之dict协议操作redis写w...
03月09日8 views评论payload
webshell
实战 | 记一次xxe漏洞的奇怪绕过
又是平平无奇的一天开局就是目录扫描Api.html存活发现接口泄露接口未授权获取管理员账号密码,发现用的xml格式加载,有可能存在xxe漏洞还是个弱口令登录后台看看本次目标明确直接找xxe构造点啊什么...
03月08日108 views实战 | 记一次xxe漏洞的奇怪绕过已关闭评论ssrf
xxe
[HTB] NodeBlog Writeup
概述 (Overview)HOST: 10.10.11.139OS: LINUX发布时间: 2022-01-10完成时间: 2022-02-09机器作者:&nb...
02月24日14 views评论linux
漏洞
Zimbra攻击面分析
0x01前言本文主要是对zimbra历史漏洞的利用以及后渗透方面介绍,不涉及对漏洞源码具体分析,有兴趣的师傅可以自行调试源码。0x02Zimbra介绍Zimbra提供一套开源协同办公套件包括WebMa...
02月24日424 views评论cve
xml
Apache POI 与 OOB-XXE 组合实战
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
02月21日84 views评论xxe
目标服务器
浅析XML外部实体注入
点击蓝字 / 关注我们前言在进行系统学习过后,对XXE进行简单总结,希望能对正在学习XXE的师傅有所帮助前置知识XML什么是XMLXML用于标记电子文件使其具有结构性的标记语言,可...
02月21日7 views评论xxe
解析器
RASP漏洞防御之 XXE 漏洞
简介当应用是通过用户上传的XML文件或POST请求进行数据的传输,并且应用没有禁止XML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞。XXE 漏洞在owasp202...
02月16日安全文章56 views评论http
java
WEB常见漏洞之XXE(靶场篇)
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
02月10日52 views评论Web常见漏洞
xxe
19