安全文章

带外通道技术(OOB)总结

在渗透中,经常碰到关闭回显的漏洞,常见的XXE盲注,SQL盲注,反序列号无回显,这个时候常用到OOB带外数据通道,带外通道技术(OOB)让攻击者能够通过另一种方式来确认和利用所谓的盲目(blind)的...
阅读全文
安全文章

傻瓜式 XSLT 注入

XML 是一种广为人知的格式,我相信你一定听说过很多关于XXE(XML 外部实体)的信息,它甚至是Web 应用程序安全的OWASP 前 10 名列表的一部分。但是你听说过XSLT吗?它代表可扩展样式表...
阅读全文
安全文章

禁用XXE处理漫谈

前言近期准备面试题时,XXE漏洞防范措施(或者说修复方式)在一些文章中比较简略,故本文根据研究进行总结,作为技术漫谈罢了。简述XXE漏洞XXE(XML外部实体注入),程序解析XML数据时候,同时解析了...
阅读全文