xxe

xxe注入题目的解析

0x01背景xxe的注入https://security.tencent.com/index.php/blog/msg/69背景就是这样,我们可以构造一个恶意的xml文件,在系统进行解析的时候,会执行其中的命令
烤土豆啦·2020-04-11 00:23

XXE白盒审计 PHP

XXE与XML注入的区别https://www.cnblogs.com/websecurity-study/p/11348913.htmlXXE又分为内部实体和外部实体。
Mysticbinary·2020-04-09 18:00

XXE验证与利用流程

:http://ceye.io/http://www.dnslog.cn/我这里用www.dnslog.cn举例pyload把http://127.0.0.1:80替换成你的GetSubDomain%xxe
Mysticbinary·2020-04-09 18:00

Java XXE漏洞典型场景分析

本文首发于oppo安全应急响应中心:https://mp.weixin.qq.com/s?__biz=MzUyNzc4Mzk3MQ==&mid=2247485488&idx=1&sn=65098eb75e035ff2f90d1ea552c4100a&chksm=fa7b097ccd0c806a40dd62a1f629b4753dc4b57e6af0ad618656234c46f4dfeef0114
tr1ple·2020-04-07 20:00

XXE漏洞攻击引发的思考

早上十点,人事发来一通知,说是微信支官方通知微信开发商,说是有人利用XXE
深思即可见·2020-04-05 22:30

XXE漏洞

原文链接:http://wyb0.com/posts/xxe/0x00XXEXXE漏洞是针对使用XML交互的Web应用程序的攻击方法XML文件作为配置文件(spring、Struts2等)、文档结构说明文件
reber·2020-04-02 13:51

Java的XXE漏洞浅析

常见攻击脚本见[未知攻焉知防——XXE漏洞攻防]。由于大多数脚本解析器并不会默认禁用DTD、Entity,因此系统出现XXE漏洞的可能性还是不低。
小谷先生·2020-03-14 08:36

XXE漏洞

XML简介本节内容结合了《Webhacking101》,链接在本文末尾,此书不错,基于hackerone上的案例编写的。稍微完善了下本节内容,去起来更为通顺。元语言是用于描述其它语言的语言,这就是XML。XML没有预定义的标签。创建XML文档的人可以定义它们自己的标签,来描述展示的内容。一个有效的XML文档之所以有效,是因为它遵循了XML的通用规则,并且它匹配了它的文档类型定义(DTD全称docu
jjf012·2020-03-12 16:52

xxe

近来面试无果,很是沮丧--2020.3.8今天做了个靶场,是面试公司的测试环境,帮我又上了一课xxe1.信息收集端口信息:发现8088端口开着apache服务,还有两个ssh端口目录信息收集尝试登陆8088
我要变超人·2020-03-08 23:00

git上传项目

https://www.cnblogs.com/cxk1995/p/5800196.htmlQQ20171204-093908.pngQQ20171204-093926.png1:在桌面建立文件夹xxe
ink9979·2020-03-07 13:31

[红日安全]Web安全Day8 - XXE实战攻防

本文由红日安全成员:ruanruan编写,如有不当,还望斧正。大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python靶场
红日安全·2020-03-06 16:00

pikachu-XXE(xml external entity-injection)

部分图片来自于网络,如有侵权,请联系我及时删除~一、XXE的概念1.1什么是xmlxml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以
冯文博·2020-02-27 14:00

XXE攻击学习笔记(持续学习更新)

156863.htmlhttp://www.freebuf.com/articles/web/126788.htmlhttp://seclists.org/fulldisclosure/2018/Jul/3XXE
CapybaraJ·2020-02-26 18:12

XXEXXE-Lab

简介1.XXEInjection(XMLExternalEntityInjection)XML外部实体注入服务端接收和解析了来自用户端的XML数据,而又没有做严格的安全控制,从而导致XML外部实体注入。2.XML(ExtensibleMarkupLanguage)可扩展标记语言XML用来传输和存储数据;XML的标签没有预定义,需要自行定义标签;XML文档结构包括:XML声明、DTD文档、文档元素。
wxlblh·2020-02-24 13:49

XXE的原理利用方式及修复

注:本文仅供参考学习XXE定义:XXE,"xmlexternalentityinjection",即"xml外部实体注入漏洞"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行
在努力的wulaoban·2020-02-23 15:47

Apache Solr XXE & RCE

12629XXERCE未实现的反弹shell坑点CVE-2019-0192关于solr的部署问题,大家参见这里:https://www.jianshu.com/p/6c7dc45fb28a本次研究涉及到的XXE
RabbitMask·2020-02-23 11:12

[web安全原理分析]-XEE漏洞入门

前言1前言XXE漏洞XXE漏洞全称(XMLExternalEntityInjection)即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件
笑花大王·2020-02-18 20:00

[NCTF2019]Fake XML cookbook

0x00知识点XXE攻击附上链接:https://xz.aliyun.com/t/6887XXE(XMLExternalEntityInjection)全称为XML外部实体注入XML可能存在的漏洞:XML
王叹之·2020-02-17 20:00

2019-11-11 CVE-2017-12629 复现学习

CVE-2017-12629包含两个漏洞,分别是XXE和远程命令执行。
欧米伽零式·2020-02-16 07:53

XXE漏洞复现步骤

XXE漏洞复现步骤0X00XXE注入定义XXE注入,即XMLExternalEntity,XML外部实体注入。
L0ading'blogs·2020-02-15 14:00

XXE漏洞复现步骤

XXE漏洞复现步骤0X00XXE注入定义XXE注入,即XMLExternalEntity,XML外部实体注入。
L0ading·2020-02-15 14:00

正经的XXE梳理

0×00背景近期看到OWASPTOP102017版中添加了XXE的内容便对XXE的一些知识进行梳理和总结,XXE可以使用例如http,file等协议,所以可以利用支持的协议进行内网探测和内网入侵,这部分的内容后续在
AlexMercer313·2020-02-14 10:52

微信支付官方SDK的XXE安全被曝存漏洞,腾讯回应称已修复

发件人是RoseJackcode,信的标题是《微信支付官方SDK的XXE安全漏洞(微信支付在商户页面遗留了一个后门)》。
拉米拉科技集团·2020-02-08 20:08

XXE漏洞分析

本文系pwn2web原创,转载请说明出处XXE漏洞,全名为XMLExternalEntityInjection,由于程序在解析输入的XML数据时,解析了攻击者精心构造的外部实体。
pwn2web·2020-01-13 19:00

Web安全测试学习笔记 - XXE注入

基础知识XXE:XMLExternalEntityEntity是XML的存储单元,可以看做XML的一个变量,定义在DTD(DocumentTypeDefinition)中。
Ying_Zhang·2020-01-06 17:00

Android EGL 错误信息定位方法

问题使用OpenGL开发过程当中可能会遇到需要理解一些关键错误日志log的意思,比如09-0909:18:07.91530493-30493/xxE/libEGL:eglTerminate:321error3008
imeiren_cn·2019-12-25 22:22

复制 EditText 文本导致的崩溃:PARAGRAPH span must end at paragraph boundary

复制WebView的文本(其实重点是多个段落)->粘贴到输入框;尝试复制输入框里面的文本(全选、复制),应用抛出异常:2018-11-0111:18:29.51921987-21987/xxx.xxx.xxE
十二书·2019-12-25 16:14

博客目录

漏洞环境的搭建[Tomcat]Tomcat8+WeakPassword&&BackendGetshellVulnerability[ThinkPHP]5-Rce[ThinkPHP]5.0.23-Rce[PHP]XXE
AlexANSO·2019-12-23 15:00

XXE之利用本地DTD进行文件读取

0x00前言现在题目出XXE一般都是考如何获取到XXE所包含文件的数据,即如何把数据泄露出来。
合天智汇·2019-12-22 20:17

漏洞新闻-- XXE attack and defense

0×00前言XXEInjection即XMLExternalEntityInjection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.在XML1.0标准⾥里,XML文档结构⾥里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安
amazing_bing·2019-12-21 04:01

Interview experience

变成电话面试一面自我介绍在实习公司干什么(挖了什么洞)记忆深刻的渗透测试经历SQL注入原理、利用、防范orderby原理waf绕过方法如何判断存在SQL注入熟悉哪种数据库MSSQL执行系统命令如何获得web服务绝对路径xxe
hea1er·2019-12-20 10:38

XML注入,xxe,xpath

XML基础众所周知,xml常用于数据存储和传输,文件后缀为.xml;它是可扩展标记语言(ExtensibleMarkupLanguage,简称XML),是一种标记语言。XML被设计为传输和存储数据,其焦点是数据的内容。1.为什么要使用XML为了便于不用应用、不同平台之间的数据共享和通信。如windows与linux跨系统交互网站与手机APP信息交互订票软件与支付软件跨平台交互2.XML代码解析ch
帅猪佩奇·2019-12-19 20:28

SQL注入+XXE+文件遍历漏洞组合拳渗透Deutsche Telekom—信息收集工作永远不会结束

p=150原作者:IbrahimM.El-Sayed译:RunningSnail译者注:作者分享了他是如何通过文件遍历+SQL注入+XXE漏洞的组合拳一步步渗透DeutscheTelekom网站,并且不厌其烦地告诉我们信息收集在渗透测试中的重要性
303Donatello·2019-12-12 15:45

OWASP TOP 10 详解

(1)——A1——注入包括但不限于sql注入、cookie注入、xxe注入等,此类为开发者忽略了客户端对数据库的恶意代码拼接读取造成的危害,可导致非法分子直接获取数据库账号及密码获取管理员权限。
BruceTyler·2019-11-23 14:00

xmldecoder反序列化漏洞分析

前言java提供了很多xml文档解析的类库,包括dom4j,domj,SAX等库,可以进行xml文档的解析,这些库的使用不当,会导致XXE漏洞的发生,但是这些类库中,SAX库允许自己去定义整个xml文档处理的
f1ight·2019-11-14 14:22

XXE漏洞

XML实体注入漏洞:XXE漏洞全称XMLExternalEntityInjection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析
再简单一点点·2019-10-31 23:00

XML External Entity Injection(XXE)

写在前面安全测试fortify扫描接口项目代码,暴露出标题XXE的问题,记录一下。
习惯沉淀·2019-10-31 14:00

Web Hacking 101 中文版 十四、XML 外部实体注入(一)

十四、XML外部实体注入作者:PeterYaworski译者:飞龙协议:CCBY-NC-SA4.0XML外部实体(XXE)漏洞涉及利用应用解析XML输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式
ApacheCN_飞龙·2019-10-31 02:20

利用xxe获取linux系统的passwd

ENTITYxxe"findneo">]><a>&xxe;</a&
hack_man·2019-10-28 22:27

XXE漏洞利用

英文全名即XmlExternalEntityInjection,即我们所说的xml外部实体注入攻击。实体可以通过预定义在文档中被调用,而实体的标识符又可以访问本地或者远程内容,当允许引用外部实体时,攻击者便可以构造恶意内容来达到攻击。XML:xml是一种可扩展的标记语言,主要就是用来传输数据的,你可以理解为就是一种写法类似于html语言的数据格式文档。但是xml跟html是为不同目的而设计的,ht
加油努力拉屎放屁·2019-10-14 21:42

广东省第三届强网杯预选赛writeup-XX?

打开题目打开是个假的搜索引擎在这个页面折腾没有发现任何问题尝试访问index.php,有新发现再尝试访问index.php~发现了源码(一般后面加个~或者.bak的都是备份文件,没有头绪的时候可以试试)是一道xxe
nohands_nood·2019-09-29 10:02

野子科技—— windows系统下Python环境的搭建

野子电竞数据官网改版https://www.xxe.io/全新登场1、首先访问http://www.python.org/downloa...。2、安装下载包,一路next。
待你幼稚完·2019-09-23 06:47

野子科技——同时使用Python2和Python3

野子电竞数据官网改版https://www.xxe.io/全新登场安装从官网或者Python部落都可以下载Python2.x和Python3.x的版本,注意一下系统就好将Python2.x和Python3
待你幼稚完·2019-09-23 06:47

渗透之路基础 -- XXE注入漏洞

XXE漏洞XXE漏洞全称XMLExternalEntityInjection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取
r0ckysec·2019-09-17 10:00

Web安全攻防-----学习笔记(四)之XXE漏洞、WAF的那些事

4.12XXE漏洞4.12.1介绍XXE漏洞XML外部实体注入(XMLExternalEntity)简称XXE漏洞,XML用于标记电子文档使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言
家住海边就爱浪吖·2019-09-12 13:22

野子科技 什么是数据结构

野子电竞数据官网改版https://www.xxe.io/全新登场什么是数据结构1.数据结构的有关定义(1)数据结构:是带有结构数据元素的集合(2)数据:是客观事物的数值、字符以及能输入机器且能被处理的各种符号的集合编译链接源程序
待你幼稚完·2019-09-12 00:00

野子科技 当AI数据服务走进中场战事

野子电竞数据官网改版https://www.xxe.io/全新登场毫无疑问,数据量的飙升是AI产业爆发的原因之一。
待你幼稚完·2019-09-12 00:00

野子科技python3代码兼容python2

野子电竞数据官网改版https://www.xxe.io/全新登场python3代码兼容python2的方式1.使用future特性Python的每个新版本都会增加一些新的功能,或者对原来的功能作一些改动
待你幼稚完·2019-09-11 00:00

保护企业内网数据安全 从以下几个方面入手

野子电竞数据官网改版https://www.xxe.io/全新登场在互联网信息时代,科技飞速发展,随着时间的推移,大多数的企业办公都已经全部实现了网络化,任何企业都建立自己的内部网络和数据存储,如何进行企业内网数据安全建设是当今非常重要的话题
待你幼稚完·2019-09-10 00:00

数据安全五大方面全解析

野子电竞数据官网改版https://www.xxe.io/全新登场对于数据库安全来说,通常我们认为缺乏的并非技术手段,更多的是缺乏规范和安全认知,如果用户都能够严格的遵循安全守则并应用现有的安全技术手段
待你幼稚完·2019-09-10 00:00
上一页 7 8 9 10 11 12 13 14 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他