xxe - 第 24 | CN-SEC 中文网

安全文章

用友NC系统XXE挖掘，读取系统文件

话不多说，直接说挖掘过程。1.项目中遇到用友NC系统、还是很老旧的系统，上传、文件读取、注入、密码绕过、接口泄露、XXE等等漏洞，就不一一说了，这回主要是说XXE漏洞的利用，不能只光证明，不能证明危害...

04月15日1,125 views评论

阅读全文

gv7.me

Java XXE漏洞正确修复方法及原理

前两周我们搞明白了XXE漏洞在Java语言中的深层原理，以及错误修复方案为何无法防御XXE的原理。今天我们来解决最后一个问题： Java中如何正确防御XXE，同时它为何能防御呢？ OWASP推荐的修复...

04月02日165 views评论

阅读全文

gv7.me

一个被广泛流传的XXE漏洞错误修复方案

现在百度”XXE漏洞修复”，搜索到的Java语言修复方案大部分如下： 12 DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance...

04月02日149 views评论

阅读全文

gv7.me

探究Java中XXE漏洞的深层原理

前段时间微信支付JDK又出现了XXE漏洞，原因是对前一个XXE漏洞没有修复成功。细思深层原因，是因为对Java JDK提供的API函数理解不正确，导致误用函数进行防御。我不禁思考了以下问题: 1.Ja...

04月02日56 views评论

阅读全文

gv7.me

Blind XXE经典payload引发的脑洞

payload1是xxe一个经典payload。一般用于无回显的blind xxe。但是问题来了，为何Payload作者将payload内容分两部分（比如像payload1这样），而不是将所有攻击实体...

04月02日266 views评论

阅读全文

SecIN安全技术社区

XXE“葵花宝典”

XXE(XML External Entity Injection) 又名 XML 外部实体注入，XML是Web开发中常用的一种标记性语言。这篇文章将分享攻击者怎样利用其中的漏洞来获取信息或者攻击We...

03月01日213 views评论

阅读全文

安全新闻

每日安全动态第59期（01.29 - 02.01）

每日安全动态安/全/分/析01ANALYSISCVE-2020-4949：XXE注入漏洞WebSphere Application Server（WAS）中的XML外部实体注入（XXE）漏洞（CVE-...

02月01日81 views评论

阅读全文

安全文章

一次“实战”引起的XXE学习

# 目标站：http://1.1.1.1:6666/hrss/login.jsp啊这？似乎又是nday的节奏。如图：payload:__type=updateData&__viewI...

01月27日223 views评论

阅读全文

安全文章

漏洞笔记|记一次与XXE漏洞的爱恨纠缠

0x01背景：kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞，身经百战的他经过一番爱恨纠缠，终将她顺利拿下~0x02纠缠一番只为她-Blind OOB XXE： &n...

01月27日211 views评论

阅读全文

安全漏洞

Apache Nutch XXE (CVE-2021-23901)

一、前述周二责任人，都下午四点了，本来觉得是风平浪静的一天，友商发了一个Apache Nutch的XXE，讲真，这个这个组件又是一无所知，先安装吧漏洞版本是小于1.18，我这里安装版...

01月27日12 views评论

阅读全文

安全工具

团队优质原创文章汇总&免费知识库分享

ABOUT 2020团队优质原创文章整理图形验证码绕过新姿势之深度学习与burp结合内网渗透之从信息收集到横向独家姿势总结-linux篇漏洞笔记（一）|记一次与XX...

01月21日158 views评论

阅读全文

安全文章

团队优质原创文章汇总&免费知识库分享

01月20日112 views评论

阅读全文

在线咨询

微信