xxe | CN-SEC 中文网

代码审计

代码审计之 XXE漏洞场景，及实战讲解！

声明：文章涉及网络安全技术仅作为学习，从事非法活动与作者无关！本篇为代码审计系列XXE漏洞理论篇第六篇，看完本篇你将掌握关于XXE漏洞的代码视角原理剖析、基础挖掘漏洞核心能力，看完如有技术错误欢迎评论...

06月09日15 views评论

阅读全文

安全新闻

PHP XXE 注入漏洞允许攻击者访问配置文件和私钥

Web 应用程序安全研究员 Aleksandr Zhurnakov 详细揭示了 PHP 中新发现的 XML 外部实体（XXE）注入漏洞。该漏洞展示了攻击者如何绕过多种安全机制，进而访问敏感配置文件和私...

06月07日20 views评论

阅读全文

代码审计

ofcms的XXE漏洞分析

forever young路虽远行则将至，事虽难做则必成。01代码审计赤弋安全XXE 代码审计常搜索的关键字如下：XMLReaderSAXBuilderSAXReaderSAXParserFactor...

05月29日23 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/5/25】

2025-05-25 微信公众号精选安全技术文章总览洞见网安 2025-05-25 0x1 【取证】第二届帕鲁"Parloo"杯-应急响应之畸形的爱智佳网络安全 2025-05-25 19:41:02...

05月26日12 views评论

阅读全文

安全百科

XXE：高级 XXE 漏洞利用完整指南

XML 外部实体 (XXE) 漏洞是现代 Web 应用程序中最容易被忽视但影响却巨大的漏洞之一。尽管这些漏洞似乎越来越难以检测和利用，但其影响依然严重，通常允许攻击者读取内部文件、访问仅限内部的网络，...

05月26日46 views评论

阅读全文

安全文章

CNVD-2023-04620 金和 OA XXE 漏洞分析复现

文章首发于奇安信攻防社区参与的众测项目，资产非常难挖掘漏洞，所以只能通过审计的方式，找找漏洞点资产里相对用的多的 oa，都是用友，泛微，致远等大型 oa，对我这种小菜来说，直接上手有点难度，无意间发...

05月23日39 views评论

阅读全文

安全新闻

紧急！SysAid On-Premise曝高危漏洞，未授权攻击可接管服务器！速修复！

“ RCE又来了。”PS：有内网web自动化需求可以私信01—导语近日，IT服务管理平台SysAid On-Premise（本地部署版）被曝存在4个高危漏洞，攻击者无需身份验证即可远程执行任意...

05月08日108 views评论

阅读全文

安全漏洞

CVE-2025-2905（CVSS 9.1）：WSO2 API 管理器中发现严重 XXE 漏洞

📌 漏洞摘要漏洞编号CVE-2025-2905CVSS评分9.1 (高危)影响版本WSO2 API Manager ≤2.0.0漏洞类型XML外部实体注入(XXE)攻击复杂度低所需权限无需认证🔍漏洞成...

05月08日36 views评论

阅读全文

安全文章

SysAid 本地预授权 RCE 链（CVE-2025-2775 及其相关漏洞）- watchTowr 实验室

又过了一周，又出现了一个显然对勒索软件团伙有经验但在电子邮件方面却举步维艰的供应商。在我们所看到的其他人所说的“watchTowr 处理”中，我们再次（令人惊讶地）披露了漏洞研究，该研究使我们能够针对...

05月08日33 views评论

阅读全文

安全文章

ClassPathXmlApplicationContext不出网利用学习

引言ClassPathXmlApplicationContext单个 String 类型参数的构造函数可实现 RCE ，在 Java 各种漏洞利用中使用广泛。但是这个类和 FileSystemXmlA...

04月14日8 views评论

阅读全文

CTF选手必收藏的50个实战解题思路

CTF竞赛的核心逻辑• 核心目标：快速拆解问题（Flag导向）、工具链协作、模式化思维。• 关键原则：先广度后深度（优先收集信息）、分治策略（拆解复杂任务）。第一部分：Web安全（15个思路）1. S...

04月09日CTF专场131 views评论

阅读全文

安全文章

金融业隐藏content-type漏洞

我们都知道，在http(s)协议中，content-type经常会被用来告知服务端应该怎么去参数化处理这个请求Body，不同的处理方式可能有不同的漏洞。就目前而言，金融业大多数使用的是json格式传参...

03月24日15 views评论

阅读全文

在线咨询

微信