安全文章

VulnHub靶机学习——XXE

山东新潮信息专业|专注|卓越|安全声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担...
admin 04月11日83 views评论vulnhub 端口扫描
阅读全文
安全文章

Xalan包在XXE问题中的坑

一、问题发现对于XXE问题,大家都不陌生。对于XXE的防御(修复)很多安全从业者也都知道 最安全的手段就是禁用DTD实体。文献【1】给出了各种语言下各类XML库的安全编码方式。在甲方环境下,笔者也曾参...
admin 03月26日115 views评论xxe 安全
阅读全文
安全文章

某XXE靶场的审计与修复

扫一扫关注公众号,长期致力于安全研究0x01 前言最近下了一个xxe-lab靶场来玩,先玩了下php版本的,没啥毛病,但是在玩JAVA版本的时候,就发现了问题....是一个纯Servlet编写的项目,...
admin 03月16日131 views评论xxe
阅读全文
安全文章

关于Blind XXE

开篇 关于XXE,很早之前内部做过分享,个人觉得漏洞本身没太多的玩点,比较有意思主要在于:不同语言处理URI的多元化和不同XML解析器在解析XML的一些特性。在科普Blind XXE之前,假定你们已经...
admin 03月07日58 views评论php root
阅读全文
安全文章

xxe-lab学习

xxe-lab学习xxe:xml外部实体注入,程序在解析xml文件时,引用了不安全的外部实体环境如下首先时回显的xxe,测试数据如下POST /php_xxe/doLogin.php HTTP/1.1...
admin 03月04日91 views评论http php
阅读全文
安全文章

3种XXE不同攻击方式

3种XXE不同攻击方式Web/移动应用程序,Word处理器,Web服务和内容管理平台使用可扩展标记语言(XML)格式在人类可读和机器可读格式的系统之间存储和传输数据。如果未正确验证XML数据的输入,则...
admin 02月10日97 views评论xxe 应用程序
阅读全文
安全博客

【ctfshow】web篇-XXE wp

前言 记录web的题目wp,慢慢变强,铸剑。 XXE做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种...
admin 01月10日67 views评论data xxe
阅读全文
安全博客

【封神台】漏洞挖掘XXE wp

前言 掌控安全里面的靶场漏洞挖掘XXE实体注入,学习一下! 做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法 XXE基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数...
admin 01月10日29 views评论data xxe
阅读全文