XML 介绍XXE全称XML外部实体注入,所以在介绍XXE漏洞之前,先来说一说什么是XML以及为什么使用XML进而再介绍一下XML的结构。XML全称 可拓展标记语言,与HTML相互配合后:HMTL用来...
01月12日16 views评论html
数据
XML 基础知识 && XXE 漏洞原理解析及实验
01月12日16 views评论html
数据
01月12日16 views评论html
数据
XML外部实体注入(XXE)攻击方式汇总
关于 XXE 攻击方式汇总的相应靶场通关记录已经完成,靶场使用的是 Port Swigger 靶场,若有需要,欢迎师傅们前往学习,Github地址:XXE 靶场通关笔记 XML 基础 XML外部实体攻...
11月15日55 views评论xml
文档
web类 | XXE漏洞总结
XML外部实体注入简称XXE漏洞:XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。1. XML基础知识XML文档结构包括...
10月16日72 views评论xml
文档
九维团队-绿队(改进)| XXE 外部实体注入科普与防护
什么是XXEXXE = XML External Entity 即外部实体,从安全角度理解成XML External Entity attack XML外部实体注入攻击。注入的本质注入的本质是用户输入...
10月01日32 views评论message
xxe
五分钟学会使用vue+element ui写前端
请原谅我是个标题党,拖更了好久,今天团队的兄弟说有个大佬五分钟学会vue,我想着水个文吧。先说好,本文并不是说使用的多高级,但是对于搞安全的人来说,写个前端啥的也基本上够用了,我也不敲概念啥的了百度上...
10月01日20 views评论dom
message
Selenuim自动入坑指南二
前言第一节已讲述了selenium的基本用法、如何定位元素等,这一节将继续围绕selenium进行展开。注:建议按顺序浏览:《Selenium自动化入坑指南一》一、鼠标控制既然是模拟浏览器操作,自然也...
08月22日51 views评论action
service
用过期证书对PE签名
网上有人会提供一些过期证书,若这些证书未被颁发机构吊销,只是过期,可以回调系统时间到证书有效期范围,然后用这种证书对PE签名,在回调的时间节点进行某些测试动作。参[7],看雪上有人提供了几个过期证书。...
07月21日安全文章100 views评论openssl
密码保护
【学习园地】XXE漏洞
【学习园地】XXE漏洞1什么是XXEXXE(XML External Entity Injection)即XML外部实体类注入漏洞。XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导...
07月15日71 views评论data
xml
简单聊下最近2个有意思的漏洞
CVE-2022-22620前几天p0的blog更新一篇文章《An Autopsy on a Zombie In-the-Wild 0-day》https://googleprojectzero.bl...
06月21日119 views评论cve
漏洞
渗透测试之XXE漏洞
XML外部实体注入简称XXE漏洞:XML用于标记电子文件使其具备结构性的标记语言,能够用来标记数据、定义数据类型,是一种容许用户对本身的标记语言进行定义的源语言。 01 XML基础知识php...
06月13日355 views渗透测试之XXE漏洞已关闭评论data
xml
入侵检测挑战赛第二期-XXE注入wp
一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚入侵挑战赛XXE首先,没绕过去啊!挑战赛规则就不说了,大概就是每人50个uuid,这50个uuid里有一个是存在xx...
05月15日121 views评论user
xml
JS基本功系列-DOM记录03
DOM节点操作 创建://创建var div = document.createElement('div');div.innerHTML = 123;...
05月01日27 views评论document
var