doctype | CN-SEC 中文网

安全漏洞

CVE-2025-2905（CVSS 9.1）：WSO2 API 管理器中发现严重 XXE 漏洞

📌 漏洞摘要漏洞编号CVE-2025-2905CVSS评分9.1 (高危)影响版本WSO2 API Manager ≤2.0.0漏洞类型XML外部实体注入(XXE)攻击复杂度低所需权限无需认证🔍漏洞成...

05月08日29 views评论

阅读全文

安全百科

XXE的基本利用手法及绕过

https://mp.weixin.qq.com/s/Kr2o-sSnAkSoyKRpjjK2yghttps://www.anquanke.com/post/id/209826一、简单介绍当目标运行我...

02月20日22 views评论

阅读全文

安全百科

XML外部实体注入

01定义XML外部实体注入（XML External Entity，XXE）漏洞是一种基于XML数据解析的严重安全漏洞，允许攻击者通过操纵XML输入干扰应用程序的逻辑、窃取敏感数据甚至控制服务器。 0...

02月11日36 views评论

阅读全文

安全文章

XXE 在文件上传当中的应用

扫码加圈子获内部资料网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。原文链接：https://xz.aliyun.com...

01月19日10 views评论

阅读全文

安全博客

XXE 指北

XXE 指北 XXE 全称是 XML External Entity，即 XML 外部实体注入攻击。要学 XXE，必须会 XML XML 基础 XML 用于标记电子文件使其具有结构性的标记语言，可以...

01月10日6 views评论

阅读全文

安全文章

XXE注入

XML外部实体注入XML外部实体注入也称为XXE，是因为后端服务器的XML解析器配置错误，允许在XML文档中定义外部实体，通过外部实体引用外部资源或文件，而且对外部实体引用的资源或文件没有做严格的过滤...

01月06日26 views评论

阅读全文

06-XXE备忘录

XXE备忘录，个人知识归档。——前言阅读声明：纯技术分享，文章仅供参考，文中的知识或工具仅限于读者对自己所负责的网站、服务器等进行学习研究和授权测试，严禁用于一切未授权测试和非法测试，否则产生的一切后...

10月31日安全文章10 views评论

阅读全文

利用XXE获取本地DTD文件

一个小技巧，记录下想象一下你有一个 XXE。支持外部实体，但服务器的响应始终为空。在这种情况下，您有两个选择：基于错误的利用和带外利用。例如Request<?xml version="1.0"...

10月19日安全文章21 views评论

阅读全文

安全文章

XXE漏洞综合利用方法汇总

点击上方蓝字关注我们郑重说明数字人才创研院秉承探究学习与交流知识‍‍‍的原则，所有发布的技术文章仅供参考，目的在于助力你获得更多知识；与此同时，让我们共同遵守《网络安全法》，未经授权请勿利用文...

10月18日32 views评论

阅读全文

安全博客

XML外部实体注入

XML外部实体注入 # 当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害 **注意：**执行系统命令(安装expect扩展的PHP环境里才有)...

10月15日23 views评论

阅读全文

xxe

XXE # XXE （ PHP 5.45之后不解析实体） <!DOCTYPE 根标签名 SYSTEM "文件名"> 1DTD实体是用于定义引用文本或字符的快捷方式的变量，可内部声明或外部...

10月15日安全博客19 views评论

阅读全文

安全博客

xxe漏洞攻击与防御

最近在学xxe，当做个笔记好了 XML讲xxe之前先讲xml，毕竟xml是基础。xml是个神奇的东西，用来传输和存储数据，你可以理解成类似sql在数据库拿东西一样，xml也是一个可以拿东西的玩意儿。但...

08月18日9 views评论

阅读全文