xxe - 第 3 | CN-SEC 中文网

安全工具

XXEinjector：一款功能强大的自动化XXE注射工具

XXEinjector是一款基于Ruby的XXE注入工具，它可以使用多种直接或间接带外方法来检索文件。其中，目录枚举功能只对Java应用程序有效，而暴力破解攻击需要使用到其他应用程序。 XXEinje...

01月12日17 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/6】

2025-01-06 微信公众号精选安全技术文章总览洞见网安 2025-01-06 0x1 Docker逃逸详解（三）安全攻防屋 2025-01-06 22:14:53 本文继续探讨Docker容器逃...

01月11日8 views评论

阅读全文

安全博客

XXE 指北

XXE 指北 XXE 全称是 XML External Entity，即 XML 外部实体注入攻击。要学 XXE，必须会 XML XML 基础 XML 用于标记电子文件使其具有结构性的标记语言，可以...

01月10日5 views评论

阅读全文

安全文章

JAVA XXE 学习总结

本文由掌控安全学院 - yusi 投稿 JAVA XXE 学习总结 XML 基础 XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 <?...

01月06日7 views评论

阅读全文

安全文章

XXE注入

XML外部实体注入XML外部实体注入也称为XXE，是因为后端服务器的XML解析器配置错误，允许在XML文档中定义外部实体，通过外部实体引用外部资源或文件，而且对外部实体引用的资源或文件没有做严格的过滤...

01月06日22 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/2】

2025-01-02 微信公众号精选安全技术文章总览洞见网安 2025-01-020x1 【工具更新】BurpSuite最新2024.11版Windows/Mac（附下载）信安404 2025-01-...

01月03日11 views评论

阅读全文

安全文章

防范XXE漏洞：XXE攻击详解与应对策略

一、XXE 漏洞概述XML（可扩展标记语言）是一种用于标记电子文件的结构化语言，它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言，因此在数据交换和存储中被广泛使用。1.1 XML 文档...

01月03日47 views评论

阅读全文

WordPress 5.7 XXE漏洞分析

在SonarSource，我们正在不断改进代码分析器和安全规则。最近，我们改进了PHP安全引擎，以检测更多OWASP Top 10和CWE Top 25问题类型。当针对一些最受欢迎的开源PHP项目测试...

01月02日安全文章10 views评论

阅读全文

安全漏洞

CVE-2021-29447 WordPress XXE

CVE-2021-29447 WordPress XXE你不需要一个wave文件来设置iXML元数据！bash：echo -en 'RIFFxb8x00x00x00WAVEiXMLx7bx00x00...

12月28日41 views评论

阅读全文

XXE漏洞检测工具

0x01 工具介绍这是一个 XXE 漏洞检测工具，支持 DoS 检测（DoS 检测默认开启）和 DNSLOG 两种检测方式，能对普通 xml 请求和 xlsx 文件上传进行 XXE 漏洞检测。 0x...

12月28日安全工具18 views评论

阅读全文

安全新闻

CVE-2024-40896 (CVSS 9.1)：libxml2 中发现严重 XXE 漏洞

广泛使用的 XML 解析库 libxml2 中新发现的一个缺陷可能允许攻击者破坏系统并窃取敏感数据。libxml2 是一个用 C 语言编写的强大的 XML 解析库。它与各种编程语言（包括 C++、Py...

12月26日21 views评论

阅读全文

一些常见的XXE payload整理

目录常见利用有回显无回显进阶利用基于Local-dtd文件的XXE对payload进行UTF7编码xincludeXSLT 最近遇到一些没有见过的xxe利用方式，就和之前的内容一起整理了一下。常见...

12月24日安全博客7 views评论

阅读全文

在线咨询

微信