xxe - 第 2 | CN-SEC 中文网

安全新闻

网安原创文章推荐【2025/2/11】

2025-02-11 微信公众号精选安全技术文章总览洞见网安 2025-02-11 0x1 一次渗透过程中的CVE-2022-45460撞洞RCETIPFactory情报工厂 2025-02-11 2...

02月12日14 views评论

阅读全文

安全文章

【burpsuite靶场-服务端】XXE注入漏洞

XML外部实体（XXE）注入在本节中，我们将解释什么是 XML外部实体注入，描述一些常见的示例，解释如何发现和利用各种 XXE 注入，并总结如何防止 XXE 注入攻击。 1. 什么是XML外部实体注...

02月11日33 views评论

阅读全文

安全百科

XML外部实体注入

01定义XML外部实体注入（XML External Entity，XXE）漏洞是一种基于XML数据解析的严重安全漏洞，允许攻击者通过操纵XML输入干扰应用程序的逻辑、窃取敏感数据甚至控制服务器。 0...

02月11日22 views评论

阅读全文

安全文章

从原理到实战，详解XXE攻击

1 基本概念XML基础：XML 指可扩展标记语言（Extensible Markup Language)，是一种与HTML类似的纯文本的标记语言，设计宗旨是为了传输数据，而非显示数据。是W3C的推荐标...

02月10日18 views评论

阅读全文

代码审计

Tabby 2.0 自动化代码静态审计：CVE-2024-53675&53676 HPE IRS XXE&RCE 漏洞

概述新年伊始 Tabby v2.0 正式发布了，过节正好有时间体验下实际效果。ZDI 去年底公开了 HPE Insight Remote Support 存在漏洞 CVE-2024-53675 和 C...

02月09日62 views评论

阅读全文

安全百科

XXE漏洞了解一下

漏洞介绍1、XXE概念XXE（XML External Entity，XML外部实体）漏洞，是一种因XML解析器不当处理外部实体而引发的安全漏洞。攻击者通过构造恶意XML数据，利用外部实体功能读取服...

02月08日11 views评论

阅读全文

XXE 0 1

笔记地址 https://pan.baidu.com/s/1fI4Zxadm7pDh456IVhfqgA?pwd=wgm2 原文始发于微信公众号（小趴菜网安学习路）：XXE 0 1

02月08日安全文章5 views评论

阅读全文

CTF选手必藏的50个实战解题思路

CTF竞赛的核心逻辑• 核心目标：快速拆解问题（Flag导向）、工具链协作、模式化思维。• 关键原则：先广度后深度（优先收集信息）、分治策略（拆解复杂任务）。第一部分：Web安全（15个思路）1. S...

02月04日CTF专场33 views评论

阅读全文

安全文章

探索 HPE Insight Remote Support 中的最新 CVE

在本文中，我们将深入研究最近在 HPE Insight 远程支持 (IRS) 应用程序中发现的两个严重漏洞，这些漏洞是之前的版本v7.14.0.629。这些漏洞（CVE-2024-53675（未经身...

02月04日20 views评论

阅读全文

安全工具

XXECheck-检测和防止 XML 外部实体 (XXE) 注入攻击

XXECheck XXECheck 是一种用于检测和防止 XML 外部实体 (XXE) 注入攻击的安全工具或库，一款XXE漏洞检测工具，支持 DoS 检测（DoS 检测默认开启）和 DNSLOG 两种...

01月22日55 views评论

阅读全文

安全文章

XXE 在文件上传当中的应用

扫码加圈子获内部资料网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。原文链接：https://xz.aliyun.com...

01月19日9 views评论

阅读全文

神兵利器 | XXEinjector：一款功能强大的自动化XXE注射工具

🙈前言今天给大家介绍的是一款名叫XXEinjector的漏洞利用工具XXEinjector是一款基于Ruby的XXE注入工具它可以使用多种直接或间接带外方法来检索文件其中，目录枚举功能只对Java应用...

01月13日安全工具43 views评论

阅读全文