我们都知道,在http(s)协议中,content-type经常会被用来告知服务端应该怎么去参数化处理这个请求Body,不同的处理方式可能有不同的漏洞。就目前而言,金融业大多数使用的是json格式传参...
XXE漏洞各种骚姿势
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c...
XXE漏洞利用完全指南
前言 XML 外部实体(XXE)漏洞是现代网络应用程序中最常被忽视但影响最大的漏洞之一。尽管它们似乎变得更难检测和利用,但其影响仍然严重,往往允许攻击者读取内部文件、访问内部网络,并在严...
漏洞预警 Smanga 动漫审计 gxx-ixxe-lxxt.php 命令执行漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操...
CTF 大神才知道的 50 个解题骚套路,速速收藏!
专注网络安全领域,包括安全岗位招聘,红蓝队建设,实战攻防,内网渗透,社工,CTF,安全技术分享等。CTF 竞赛的核心玩法核心目标: 以 Flag 为导向,光速拆解问题、熟练运用各种工具、培养模式化思维...
SSTI模板注入与XXE注入漏洞的挖掘和利用
点击上方蓝字关注格物安全SSTI模板注入挖掘和利用 当我使用nmap对网站的端口和服务进行扫描的时候发现9999端口开放的web服务用的是Tornado框架。 Tornad...
XXE的基本利用手法及绕过
https://mp.weixin.qq.com/s/Kr2o-sSnAkSoyKRpjjK2yghttps://www.anquanke.com/post/id/209826一、简单介绍当目标运行我...
记一次有趣的客户端RCE+服务端XXE挖掘nn
0x01 起因朋友给某甲方做渗透测试,奈何甲方是某知名保险,系统太耐艹,半天不出货兄弟喊我来一块来看,于是有了本文0x02 客户端RCE一处朋友把靶标发给我看了下,除了两个下载链接啥也没有链接下载下来...
【SDL实践指南】Fortify控制流巧用之XXE规则调试记录
文章前言在Fortify执行静态代码扫描时会加载默认规则和自定义规则目录下的自定义规则内容,输出结果中不仅有默认规则的众多的安全问题还会有自定义规则扫描出来的问题,如果我们想要只扫描我们自定义的规则那...
【渗透知识】XXE注入
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。[ 简介 ]XXE注入在...
网安原创文章推荐【2025/2/11】
2025-02-11 微信公众号精选安全技术文章总览洞见网安 2025-02-11 0x1 一次渗透过程中的CVE-2022-45460撞洞RCETIPFactory情报工厂 2025-02-11 2...
【burpsuite靶场-服务端】XXE注入漏洞
XML外部实体(XXE)注入 在本节中,我们将解释什么是 XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种 XXE 注入,并总结如何防止 XXE 注入攻击。 1. 什么是XML外部实体注...