xxe

OWASP Top 10十大风险——解析及实例

A1:2017-注入A2:2017-失效的身份认证A3:2017-敏感数据泄露A4:2017-XML外部实体(XXE)A5:2017-失效的访问控制A6:2017-安全配置错误A7:2017-跨站脚本(
Vista、·2020-07-11 15:34

电竞DOTA2数据API接口 - 【比赛详情】API调用示例代码

分享使用野子电竞数据http://www.xxe.io接口调用的示例代码,接的是DOTA2的【比赛详情】数据接口.请求方法:GEThttps://api.xxe.io/?
maxchoice·2020-07-11 12:52

电竞CSGO数据API接口 - 【最近赛事列表】API调用示例代码

https://www.xxe.io/importcom.alibaba.fastjson.JSON;importcom.alibaba.fastjson.annotation.JSONField;importjava.nio.charset.StandardCharsets
crooked8·2020-07-11 04:26

电竞Dota2数据API接口 - 【队伍列表】API调用示例代码

https://www.xxe.io/importcom.alibaba.fastjson.JSON;importcom.alibaba.fastjson.annotation.JSONField;importjava.nio.charset.StandardCharsets
crooked8·2020-07-11 04:26

电竞英雄联盟数据API接口 - 【比赛列表】API调用示例代码

电竞英雄联盟数据API接口-【比赛列表】API调用示例代码分享使用野子科技数据https://www.xxe.io/接口调用的示例代码,今天接的是英雄联盟的【比赛列表】接口,跟之前不同的是,接口返回的是
crooked8·2020-07-11 04:26

XXE攻防——XML外部实体注入

转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义XML文档的合法构建模块。DTD可以在XML文档内声明,也可以外部引用。内部声明DTD引用外部DTD或者DTD实体是用于定义引用
aezwm4109·2020-07-11 01:47

xml 防xxe注入 备注

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXBuilderJava的使用XML
william-Han·2020-07-11 00:01

XML外部实体引用(XXE,XML External Entity attack)漏洞原理及其预防

0x00什么是XMLXML指可扩展标记语言(EXtensibleMarkupLanguage),是一种用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。和HTML类似,但HTML被设计来显示数据,XML被设计来传输数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。0x01什么是XML外部实体DTD(文档
qq_gfq·2020-07-10 18:31

电竞LOL数据API接口 - 【赛事列表数据】API调用示例代码

这里写自定义目录标题分享使用野子电竞数据http://www.xxe.io接口调用的示例代码,接的是英雄联盟的【选手基本信息】接口.接口请求地址:http://api.xxe.io/?
maxchoice·2020-07-10 17:50

cve-2017-12629 apache solr xxe & rce 漏洞分析

VersionsAffectedApacheSolrbefore7.1.0withApacheLucenebefore7.1Elasticsearch,althoughitusesLucene,isNOTvulnerabletothis.DescriptionApacheSolr是一个开源的搜索服务器。Solr使用Java语言开发,主要基于HTTP和ApacheLucene实现。原理大致是文档通过
whatday·2020-07-10 11:38

Zimbra XMPP XXE 复现

wiki.zimbra.com/wiki/Zimbra_Security_Advisorieshttps://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.9/P9补丁上说XXE
fnmsd·2020-07-09 16:12

Apache solr xxe漏洞复现(CVE-2017-12629)

Apachesolrxxe漏洞复现(CVE-2017-12629)前言环境搭建漏洞复现参考文章前言影响版本ApacheSolr">请求包GET/solr/demo/select?&q=%3C%3fxml+version%3d%221.0%22+%3f%3E%3C!DOCTYPE+root%5b%3C!ENTITY+%25+ext+SYSTEM+%22http%3a%2f%2f192.168.164
whojoe·2020-07-09 08:25

Mysql复合索引,条件中有or时使用不到

InnoDBDEFAULTCHARSET=utf8COMMENT='XXXXXXX';查询语句selectc1,c2,c3fromt1WHERE(a='xxa'orb='xxb')andc='xxc'andd='xxd'ande='xxe'andf
二十六画生的博客·2020-07-05 15:12

XXE学习】XML外部实体注入

一、XML外部实体注入介绍1.1XXE简介XML外部实体注入(XMLExternalEntityInjection)也就是人们(mianshiguan)常说的XXE啦,见名知意,就是对于不安全的外部实体进行处理时引发的安全漏洞
Zh1z3ven·2020-07-04 00:00

web安全入门(第九章-1)xxe实体注入

一、什么是XXE1,本质简单的说,就是XML外部实体注入攻击分解一下注入:将用户输入的内容当作代码执行sql注入:将用户输入的内容当作sql代码执行XML:一种类似HTML的语言,主要是存储传输数据的,
YINZHE_·2020-07-01 14:06

带外通道技术(OOB)总结

在渗透中,经常碰到关闭回显的漏洞,常见的XXE盲注,SQL盲注,反序列号无回显,这个时候常用到OOB带外数据通道,带外通道技术(OOB)让攻击者能够通过另一种方式来确认和利用所谓的盲目(blind)的漏洞
Eagle_pompom·2020-07-01 09:02

web漏洞之XXE

目录一、概述1.1什么是XXE
Bin&R·2020-06-30 02:38

xxe漏洞之——漏洞复现

漏洞介绍XXE全称XMLExternalEntityInjection,也就是XML外部实体注入攻击,漏洞是对非安全的外部实体数据进行处理时引发的安全问题。要了解XXE,就必须懂得XML的一些规则。
卖N孩的X火柴·2020-06-29 20:05

vulnhub-XXE Lab: 1靶机实验

vulnhub-XXELab:1靶机实验靶机:下载链接:https://download.vulnhub.com/xxe/XXE.zip虚拟机设置为net模式使用nmap探测下目标ip:192.168.124.136
桜ying·2020-06-29 13:31

浅谈XXE漏洞:从XML到文件读取

一、什么是XXE漏洞?
obsetear·2020-06-29 12:44

网络安全入门到精通(总结篇) 最终篇(上)

仰望星空的时候,不要忘记脚踏实地本文内容:1.web通信基础2.后端数据库正则3.信息收集4.sql注入5.XSS6.CSRF7.文件上传8.验证码、密码找回漏洞9.越权漏洞10.SSRF11.支付漏洞12.XXE13
划水的小白白·2020-06-29 11:41

闲谈:渗透测试-红队版

闲谈:渗透测试-红队版第二篇BlindXSS漏洞反序列化攻击JavaScript和远程代码执行服务器端请求伪造(SSRF)XML外部实体攻击(XXE)如何开始攻击网络从外网寻找侵入对方系统的登陆凭证通过网络移动权限提升利用
·临江仙·2020-06-29 11:54

awvs 漏洞扫描工具安装到 kali linux

AWVS能够针对SQL注入、XSS、XXE、SSRF、主机头注入以及4500多个其他web漏洞执行精确的测试
叄贰壹·2020-06-29 07:30

7月第1周风控关注 微信支付SDK曝XXE漏洞 可伪造订单

1.微信支付SDK被曝XXE漏洞,可窃取商家密钥伪造订单白帽子给出的漏洞描述,使用微信支付时,商家需要提供通知网址以接受异步支付结果。问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。
weixin_33834075·2020-06-28 06:45

xxe - lab

php-xxe我们抓一下包看一下吧。看到了我们发送的用户名/密码都是以POST形式发送的。并且很像是xml文档、接下来开始源码审计。
uihijio·2020-06-27 10:34

XXE - 实体注入

什么是xxe
净邪·2020-06-26 22:58

利用bWAPP学习SSRF

SSRF的3个小实验bWAPP中的SSRF给出了3个小实验来说明SSRF的利用场景:任务1:使用远程文件包含进行端口扫描(内网探测)任务2:使用XXE获取敏感文件中的内容(文件读取)任务3:使用XXE进行
0nc3·2020-06-26 17:50

一篇文章读懂Java代码审计之XXE

前言学习总结Java审计过程中笔记,审计方法阅读要求:有简单Java代码基础,了解漏洞原理阅读时长:30min篇幅比较长漏洞简介  简单来说,XXE就是XML外部实体注入。
明月清水·2020-06-26 15:36

2020网鼎杯---Java文件上传wp

前言一篇文章读懂Java代码审计之XXE看过我这篇博客应该不难,没看过建议在看看。
明月清水·2020-06-26 15:04

PHP之XXE漏洞靶场详解

PHP之XXE漏洞靶场详解00x1什么是XXE简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
雨夜…·2020-06-26 12:25

XXE攻击指南

本文将描述XML外部实体(XXE)注入攻击及其基础知识,以便更好地了解如何攻击以及如何处理。既然我们将谈论XXE注入,那么首先我们应该了解外部实体的含义以及实现的内容。
rigous·2020-06-26 05:01

xxe简单漏洞复现

>payload:]>&XXE;验证:php中测试POCfile://path/to/file.txthtt
西部壮仔·2020-06-26 03:51

pikachu靶场___XXE漏洞教程

pikachu靶场___XXE漏洞教程XXE(XMLExternalEntityInjection)即xml外部实体注入当程序在解析XML输入时,允许引用外部实体,导致能够引用一个外部恶意文件,可导致执行系统命令
qq_41584172·2020-06-25 20:45

XXE—实体注入、XXE-lab-master(php_xxe WriteUp)

XXE—实体注入、XXE-lab-master(php_xxeWriteUp)今天给大家分享一下XXE—实体注入,喜欢的朋友希望点个赞哦。XXE是什么?
凌晨三点-·2020-06-25 16:55

渗透测试初级面试题

5.CSRF、XSS及XXE有什么区别,以及修复方式?6.3389无法连接的几种情况7.列举出owasptop1020198.说出至少三种业务逻辑漏洞,以及修复方式?
Harvey丶北极熊·2020-06-25 15:50

vulnhub——XXE练习

今天写一个关于vulnhub上的关于XXE漏洞利用的一个靶场练习0x01概述:XXE(XMLExternalEntity)是指xml外部实体攻击漏洞。
怪味巧克力·2020-06-24 17:19

Spring Boot Actuator 是 Spring Boot 的一个子项目。开发者只需少量工作,就可为应用添加若干种生产级服务。在这篇指南中,你将构建一个应用并学会如何添加这些服务。 你将构

XXE介绍XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义XML文档的合法构建模块。DTD可以在XML文档内声明,也可以外
java学习QQ1638812475·2020-06-24 08:28

XXE漏洞学习从入门到放弃

image.png0X00前言首先介绍一下什么是XXEXXE全称是——XMLExternalEntity,也就是XML外部实体注入攻击.漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。
RedTeamWing·2020-06-24 06:26

XXE靶机实战-vuluhub系列(三)

这是vulnhub靶机系列文章的第三篇,具体下载连接去vulnhub或者百度、谷歌搜搜就好...开始进入主题首先xxe是xml外部实体注入漏洞,可通过进入外部实体进行攻击,例如读取敏感文件,扫描端口等等
PANDA墨森·2020-06-23 19:00

XXEXXE漏洞攻击与防御

0x01XML基础在聊XXE之前,先说说相关的XML知识吧。定义XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。
Pino_HD·2020-06-23 18:02

Apache Solr 远程命令+XXE执行漏洞(CVE-2017-12629)

ApacheSolr最近有出了个漏洞预警,先复习一下之前的漏洞命令执行先创建一个listener,其中设置exe的值为我们想执行的命令,args的值是命令参数POST/solr/demo/configHTTP/1.1Host:your-ipAccept:*/*Accept-Language:enUser-Agent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6
ddr12231·2020-06-23 03:55

XXE详解

xxe漏洞的学习与利用总结前言对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。
bylfsj·2020-06-22 19:14

一道CTF针对XXE漏洞的练习

思路:那么思路一:文件包含;思路二:ssrf漏洞,这个成功率不大;思路三:xxe漏洞,再没看源码的情况下试了一下,发现可以。
bamanju0574·2020-06-22 17:09

2020网鼎杯(青龙组)--WEB--FileJava(XXE

FileJava1.打开题目,只有上传和下载的功能,可以上传任意文件和下载文件,但是不能访问,所以不能用一句话连接,在下载文件功能发现可以下载任意文件,于是将WEB-INF/web.xml页面下载下来,发现有上传和下载的配置文件,由2个类组成,将这2个类下载下来。--DownloadServletcn.abc.servlet.DownloadServlet-DownloadServlet/Down
a965527596·2020-06-22 11:51

Solr DIH dataConfig参数XXE漏洞

在使用solrweb控制台生成core索引的时候,dataConfig参数存在xxe漏洞,攻击者可以向服务端提交恶意的xml数据,利用恶意xml数据可以读取被攻击服务器的敏感文件
HxXhY·2020-06-21 22:06

XXE 从入门到放弃

0x00前言如果各位表哥表姐已经懂得啥是XML,DTD,那么可以直接从0x02什么是XXE?开始看;如果你只是大概知道啥是XML,那么我建议你从头开始看!
江南小虫虫·2020-06-21 16:26

懒狗日记

SQL注入了解了一点,划水严重XSS算是花的时间比较多的,但是不细,不是很深入XXE了解个大概CSRF/SSRF了解一个大概在补天上交了差不多10个公益漏洞,没太大价值写了几篇博客,没特色看了一些书籍,
R0oKi3·2020-06-18 17:00

0x03-SQL注入-导出数据库Schema

第二,XXE的练习在Heroku上做不了。那么就部署到本机吧。kali是在虚拟机上,有必要的时候只
0pr·2020-05-22 22:07

XXE Lab渗透测试实战靶场

任务描述:信息收集。1.首先查看kali机器IP地址:10.1.1.912.使用netdiscover扫描本地网络主机:#netdiscover-r10.1.1.0/24-rrange:扫描给定范围而不是自动扫描。3.使用nmap扫描目标ip:#nmap-sV-p1-6553510.1.1.93-v-sV:探测端口服务版本;-p:指定端口;-v:显示扫描过程。4.浏览器访问10.1.1.93机器的
努力 现在开始·2020-04-23 23:33

鸟类使用烟头建巢只为驱虫?——科学新发现

有用的写作表达:keepsthatbay:远离xxe.g.theyhelptokeepparasitesatbay.烟头:cigarettebutts干涉、搞乱:meddlewiththenests一
小崔哈哈·2020-04-13 08:18
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他