XML 是一种广为人知的格式,我相信你一定听说过很多关于XXE(XML 外部实体)的信息,它甚至是Web 应用程序安全的OWASP 前 10 名列表的一部分。但是你听说过XSLT吗?它代表可扩展样式表...
04月20日163 views评论xxe
文档
傻瓜式 XSLT 注入
04月20日163 views评论xxe
文档
04月20日163 views评论xxe
文档
ChatGPT 在漏洞赏金的备忘录
最近在研究Web3的漏洞挖掘,发现ChatGpt是Bug Bounty非常好的智囊,真的如虎添翼。前提是知识量要大,能提供足够的上下文信息。https://github.com/TakSec/chat...
04月17日31 views评论chatgpt
xss
对于XXE的理解
XXE漏洞1.概念XXE(XML External Entity Injection) 全称为 XML 外部实体注入2.语法XML 指可扩展标记语言(EXtensible Markup Languag...
03月30日29 views评论id
xxe
Offeice文档XXE
一、前置知识 在微软2007之后,Office文件名都添加了 x,本质上都是个xml文件,可以使用 file 或 unzip 等命令查看。 $ file office_xxe.xlsx office_...
03月15日29 views评论document
xxe
CVE-2022-35741 Apache CloudStack SAML XXE注入
前言最近爆了好多洞,看到有个XXE注入,正好前段时间刚分析完ZOHO那个XXE正好分析一波环境搭建跟着官网安装,直接放弃,最后找到了docker的镜像,直接docker搭起来,不过在docker进行远...
03月13日58 views评论stack
xxe
禁用XXE处理漫谈
前言近期准备面试题时,XXE漏洞防范措施(或者说修复方式)在一些文章中比较简略,故本文根据研究进行总结,作为技术漫谈罢了。简述XXE漏洞XXE(XML外部实体注入),程序解析XML数据时候,同时解析了...
03月10日60 views评论xxe
xxe漏洞
记某个认证小靶场
因为绝大部分非常简单,在我的公众号前期文章中就能找到答案,所以这里大部分题型都只给出题目,这些你会做还是不会做看题目基本就知道了。CSRF之钓鱼修改管理员密码。SSRF之dict协议操作redis写w...
03月09日11 views评论payload
webshell
实战 | 记一次xxe漏洞的奇怪绕过
又是平平无奇的一天开局就是目录扫描Api.html存活发现接口泄露接口未授权获取管理员账号密码,发现用的xml格式加载,有可能存在xxe漏洞还是个弱口令登录后台看看本次目标明确直接找xxe构造点啊什么...
03月08日131 views实战 | 记一次xxe漏洞的奇怪绕过已关闭评论ssrf
xxe
[HTB] NodeBlog Writeup
概述 (Overview)HOST: 10.10.11.139OS: LINUX发布时间: 2022-01-10完成时间: 2022-02-09机器作者:&nb...
02月24日31 views评论linux
漏洞
Zimbra攻击面分析
0x01前言本文主要是对zimbra历史漏洞的利用以及后渗透方面介绍,不涉及对漏洞源码具体分析,有兴趣的师傅可以自行调试源码。0x02Zimbra介绍Zimbra提供一套开源协同办公套件包括WebMa...
02月24日517 views评论cve
response
Apache POI 与 OOB-XXE 组合实战
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
02月21日113 views评论xxe
目标服务器
浅析XML外部实体注入
点击蓝字 / 关注我们前言在进行系统学习过后,对XXE进行简单总结,希望能对正在学习XXE的师傅有所帮助前置知识XML什么是XMLXML用于标记电子文件使其具有结构性的标记语言,可...
02月21日14 views评论xxe
解析器
26