xml - 第 8 | CN-SEC 中文网

安全文章

XXE漏洞学习笔记

一、XML定义看一段示例 <?xml version="1.0" encoding="ISO-8859-1"?> //用来说明xml格式的数据的开始,告诉xml解析器版本号 <!D...

06月14日27 views已关闭评论

阅读全文

安全文章

渗透测试之XXE漏洞

XML外部实体注入简称XXE漏洞：XML用于标记电子文件使其具备结构性的标记语言，能够用来标记数据、定义数据类型，是一种容许用户对本身的标记语言进行定义的源语言。 01 XML基础知识php...

06月13日367 views已关闭评论

阅读全文

安全文章

Spring Cloud Gateaway远程代码执行漏洞研究报告

一、漏洞信息搜集1.1 漏洞信息表漏洞名称Spring Cloud Gateaway远程代码执行漏洞发布时间2022-03-01漏洞编号CVE-2022-22947威胁类型代码执行漏洞危害级别高危影响...

06月11日22 views评论

阅读全文

安全闲碎

【每天一个 Linux 命令】tree命令

1. 前言本文主要讲解Linux系统上的tree命令的详细使用方法。 tree 命令是一个小型的跨平台命令行程序，用于递归地以树状格式列出或显示目录的内容。它输出每个子目录中的目录路径和文件，以及子...

06月11日22 views已关闭评论

阅读全文

安全文章

实战|一次有趣的客户端RCE+服务端XXE挖掘

作者：J0o1ey原文：https://www.cnblogs.com/J0o1ey/p/15717362.html起因朋友给某甲方做渗透测试，奈何甲方是某知名保险，系统太耐艹，半天不出货兄弟喊我来一...

06月10日187 views评论

阅读全文

安全文章

【干货】Strust2框架S2-037漏洞分析

李洁@360信息安全部云安全团队一、漏洞介绍该漏洞其实是S2-033的升级版，S2-033的描述是：针对使用REST插件且开启动态方法调用的应用，恶意攻击者可以利用该漏洞进行远程代码执行。当初官方和很...

06月08日29 views评论

阅读全文

安全文章

ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...

06月07日76 views评论

阅读全文

安全漏洞

【风险通告】2022年5月重点关注的漏洞

0x00 风险概述2022年5月，启明星辰安全应急响应中心监控到重点关注漏洞共计60+，漏洞来源包括CNVD、CNNVD、CVE、NVD、CISA、Internet等，这些漏洞涉及Apache、F5、...

06月07日1,063 views评论

阅读全文

安全文章

PHPCMSv9.6.0wap模块注入漏洞

漏洞分析/index.php?m=wap&c=index&a=init&siteid=1抓包访问：返回问题存在 set-cookie 处：Set-Cookie: AANIc_s...

06月07日133 views评论

阅读全文

安全闲碎

一些用于查找敏感文件的语法

谷歌intitle:"index of" "WebServers.xml" filetype:xls inurl:"email.xls" intitle:"Index of" wp-admin int...

06月07日32 views评论

阅读全文

安全文章

CVE-2022-30190 Follina Office RCE分析【附自定义word模板POC】

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。只供对已授权的目标使用测试，对未授权目标的测试作者不承担责任...

06月06日229 views评论

阅读全文

安全文章

渗透测试TIPS之Web（一）

侦查1、绘制攻击面；2、寻找子域名、ip、电子邮件，harvester是个不错的工具，可以使用如python theHarvester.py -d chinabaiker.com -n -c -t -...

06月02日61 views评论

阅读全文