关于xfire1.2.6修复xxe的过程

最新推荐文章于 2023-07-20 17:25:11 发布
最新推荐文章于 2023-07-20 17:25:11 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 安全攻防 文章标签: xfire xxe burp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJ_liujue/article/details/84590524
版权

使用工具

Burp 下载地址
MyEclipse
IDEA 2018

起因

安全部门同事检测出,我维护的平台接口存在xxe漏洞。经过测试和查找资料,发现是xfire框架本身就存在的漏洞(http://www.anquan.us/static/bugs/wooyun-2016-0166751.html)。

学习使用Burp攻击漏洞

一、拦截浏览器请求

打开Burp后,tab栏选择Proxy-Options配置Proxy Listeners
Proxy-Options
可以选择添加Add或者修改Edit。
Edit proxy listener
这里的端口号Bind to prot要和浏览器中设置的代理服务器端口号一致
PC代理设置
Proxy Listeners配置好之后,到Proxy-Intercept开启拦截

最低0.47元/天 解锁文章
LJ_liujue
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XFire1.2.6配置篇--初级
juxtapose的专栏
09-09 4096
        Web Services使我们能够在网络上建立分布式系统,应用程序组件可以通过任何平台、任何语言和任何方式访问。无论应用程序如何开发,使用了什么语言,以及运行在什么操作系统平台上,只要它作为Web Service,并且为协同解决问题而设计,那么你的应用程序,以任何语言开发或在任何平台上,都可以利用它的服务。这是Web Service的主要概念。         从Web S
xfire_1.2.6.rar
10-17
xfire-distribution-1.2.6.zip
Spring2.0和XFire1.2.6整合案例
08-11
解决了Spring2.0和XFire1.2.6整合出错的问题 如果你觉得我骗分请不要下,谢谢!
XFire1.2.6
05-27
基于webservice的开发,XFire需要的jar文件。
xfire1.2.6
lanzongjie198200的专栏
10-10 185
XFire属于新一代的Web服务引擎。“新一代”不只是营销术语,它具有一定的重要意义。Apache Axis是Java领域最早的Web服务引擎之一,已成为后来问世的所有工具的衡量基准。在过去的几年里,Axis及其他这些工具已在许多生产环境进行了现场测试。获得的重要经验教训之一就是,Web服务并非最适合RPC类型的通信。出于性能和效率的考虑,面向文档的消息传输类型的通信才是出路。但Apach...
XFire1.2.6完整版JAR包
11-12
XFire1.2.6完整版JAR包 XFire1.2.6完整版JAR包XFire1.2.6完整版JAR包XFire1.2.6完整版JAR包
xfire1.2.6版本及依赖文件
11-03
8. **依赖管理**: 提供的`xfire1.2.6_all`压缩包可能包含了所有必要的依赖文件,这方便开发者快速集成到项目中,避免了手动解决依赖问题的麻烦。 9. **文档和社区支持**: 虽然XFire 1.2.6相对较旧,但在其活跃时期...
xfire1.2.6_plugin
12-15
xfire1.2.6_plugin:Eclipse插件详解》 在软件开发领域,Eclipse作为一款强大的集成开发环境(IDE),深受广大开发者喜爱。为了提升开发效率和功能拓展,Eclipse支持丰富的插件机制。其中,"xfire1.2.6_plugin"是...
xfire1.2.6.jar
04-11
去除xfire传递date类型的数据时值为null时的异常的jar包
xfire-all-1.2.6.jar
08-12
xfire-all-1.2.6.jar 开发webservice xfire 所需jar包
xfire1.2.6建立webservice发布接口1(server端配置及查看发布状态)
weixin_30344995的博客
08-21 94
环境:jdk6 , xfire1.2.6 , Struts1.1(公司的老版本) , Hibernate3.3.1 , Spring2.0.2 , Ext2.1  ,由于这是拿回家做得,所以引入的都是MyEclipse8.5中xfire的包(xfire版本也是1.2.6,其他地方可能有所不同) 由于之前已经把Ext + SSH的项目写好了,这篇笔记只针对xfire的配置和WebService的...
php调用带验证的xfire,Xfire文件读取漏洞
weixin_27885845的博客
03-27 576
xfire是流行的webservice开发组件,其在invoke时使用了STAX解析XML导致XML实体注入发生(其实标题应该是XXE的,不过那样太明显了^_^)。org\codehaus\xfire\transport\http\XFireServlet.java中:public void init()throws ServletException{try{super.init();xfire ...
何配置xfire1.2.6
09-06 353
<br />xfire是与Axis 2并列的新一代WebService框架。具有如下:<br />1、支持一系列Web Service的新标准--JSR181、WSDL2.0 、JAXB2、WS-Security等 ; <br />2、使用Stax解释XML,性能有了质的提高。xfire采用Woodstox 作Stax实现; <br />3、Easily Create Services from POJOs; <br />4、易于与Spring框架结合; <br />5、灵活的Binding机制,包括默认的
xfire1.2.6+spring2.0 之webservice搭建小结
fjfdszj的专栏
12-30 1254
<br />1.spring2.0.jar与xfire1.2自带的spring1.2.6.jar冲突.需要删除"spring1.2.6.jar".<br /> <br />异常:Document root element "beans", must match DOCTYPE root "null".<br /> <br />2.表示层如果不是用spring的mvc,还要引入"spring-webmvc.jar".<br />异常:no find class "org/springframework/web
xxe漏洞
weixin_43534549的博客
06-03 184
PHP反序列化 xxe漏洞: 先查看后台代码 复制文中的代码,提交 复制文中代码提交结果为
如何配置XFire1.2.6
lwkaoyan的专栏
05-06 148
XFire1.2.6版本配置。 主要介绍了如何配置xfire1.2.6,进行Web Service开发。 Web Services使我们能够在网络上建立分布式系统,应用程序组件可以通过任何平台、任何语言和任何方式访问。无论应用程序如何开发,使用了什么语言,以及运行在什么操作系统平台上,只要它作为Web Service,并且为协同解决问题而设计,那么你的应用程序,以任何语言开发或...
XXE原理,利用与修复详解
GalaxySpaceX的博客
07-20 1213
XXE原理+利用+修复
spring+xfire暴露和访问WebService
不会游泳的鱼
12-17 874
 服务端:                客户端:    http://127.0.0.1:8080/imtiService/wsUserManager.service?wsdl"/>   
xfire遇到的问题
lanonola的专栏
03-24 702
今天同事遇到的一个问题: 他在做webservice服务器端  布完以后  报如下错误: 放解决方案之前,先普及一点小知识: 1.XFire在2007年后已停止更新。正式更名为Apache CXF,亦可以说是XFire2.0。我们开发时用的是apache-cxf-2.5.2 解决方法:网上查来的,将project/META-INF文件夹拷贝到classes目录下,因为这是xfire
xfire+xxe+burp
最新发布
11-08
xfire是一个基于Java的WebService框架,可以用于构建分布式应用程序。xxe注入是一种攻击方式,攻击者通过在XML文件中插入恶意代码来获取敏感信息。Burp是一种常用的Web应用程序渗透测试工具,可以用于发现和利用Web应用程序中的漏洞。在使用xfire构建分布式应用程序时,需要考虑安全认证问题,以防止未经授权的访问。同时,由于xfire存在STAXUtils类的重复定义问题,需要进行相应的解决。在使用Burp进行Web应用程序渗透测试时,可以利用其对HTTP请求和响应的拦截和修改功能,来检测和利用xxe注入漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值