实景防御赛制介绍
xxe修补讲解
/var/www/html查看代码发现发现存在 xxe.php 文件,说明考点即为XXE漏洞修复。
libxml_disable_entity_loader(false);修改为libxml_disable_entity_loader(true);即可防止xxe漏洞:
#!/bin/sh
mv xxe.php /app/xxe.php
difjson修补讲解
下发赛题通过平台提供的链接进入环境进行查看,同样首先使用ps -ef 命令 查看所运行的服务:
Spark.post("/", (request, response) -> {
String data = request.body();
data = data.replaceAll("@","");
JSONObject obj = JSON.parseObject(data, new Feature[]{Feature.SupportNonPublicField});
JSONObject ret = new JSONObject();
ret.put("success", 200);
ret.put("data", "this is your " + obj.get("name") + ",you age " + obj.get("age"));
response.status(200);
response.type("application/json");
return ret.toJSONString();
});
#!/bin/sh
mv fst.jar /usr/local/tomcat/webapps/fastjson/fst.jar
原文始发于微信公众号(春秋伽玛):官方WP | 第三届卫生健康行业网安技能大赛实景防御实操训练
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论