XXE(XML External Entity Injection) 又名 XML 外部实体注入,XML是Web开发中常用的一种标记性语言。这篇文章将分享攻击者怎样利用其中的漏洞来获取信息或者攻击We...
03月01日213 views评论web
xxe
XXE“葵花宝典”
03月01日213 views评论web
xxe
03月01日213 views评论web
xxe
Apache Solr漏洞检测利用工具
solr是一个高性能,采用Java5开发,基于Lucene的全文搜索服务器。Solr是一个独立的企业级搜索应用服务器,很多企业运用solr开源服务。原理大致是文档通过Http利用XML加到一个搜索集合...
02月24日298 views评论http
工具
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
来源 | https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注...
02月10日233 views评论sql
注入
抓取HASH的10001种方法
这是 酒仙桥六号部队 的第 145 篇文章。全文共计3601个字,预计阅读时长10分钟。前言在我们内网拿下机器时候,总会需要去抓取机器账户 HASH 值,但是往...
02月05日448 views评论net
xml
漏洞笔记|记一次与XXE漏洞的爱恨纠缠
0x01背景:kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞,身经百战的他经过一番爱恨纠缠,终将她顺利拿下~0x02纠缠一番只为她-Blind OOB XXE: &n...
01月27日211 views评论xxe
漏洞
Weblogic T3/IIOP反序列化漏洞(XXE漏洞)分析
Smi1e@卫兵实验室漏洞复现证明截图影响范围Oracle Weblogic Server 12.1.3.0, 12.2.1.3, 12.2.1.4漏洞分析com.tangosol.util.Exte...
01月26日979 views评论序列化
漏洞
Java代码审计之SQL注入——Mybatis框架
Mybatis简介 MyBatis是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBat...
01月24日773 views评论java
sql
在XML中测试Fastjson反序列化
引言 在实际业务开发中,经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能,按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传...
01月20日164 views评论fastjson
序列化
复现CVE-2020-14883(说几个坑)
复现过程中遇到的坑: 1、如果使用python命令开启:python -m SimpleHTTPServer有可能会导致访问此目录的时候是呈现出下载此文件正确的调用需...
01月19日514 views评论python
xml
CVE-2020-26258&26259:XStream漏洞复现
上方蓝色字体关注我们,一起学安全!作者:蔷薇@Timeline Sec本文字数:899阅读时长:2~3min声明:请勿用作违法用途,否则后果自负0x01 简介XStream基于Java库,是一种OXM...
12月25日315 views评论cve
序列化
App安全检测实践基础——工具
网安引领时代,弥天点亮未来 0x00目录简述ApktoolApk反编译得到Java源代码dex2jarjd-gui.exe劫持工具使用方法adb工具PYT...
12月22日231 views评论工具
文件
Golang XML解析器漏洞可引发SAML 认证绕过
12月14日,Mattermost与Golang团队发布了3个Go 语言XML 解析器安全漏洞。漏洞影响多个基于Go 的SAML 实现,可能引发完整的SAML 认证绕过。XML 解析器不能保证完整性下...
12月22日261 views评论go
xml
27