![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Web渗透测试
文章平均质量分 66
Web渗透测试
j0101_
这个作者很懒,什么都没留下…
展开
-
XXE-实体注入
XXE-实体注入 一、什么是XXE? 二、XML是什么? XML结构? 三、重点函数?XXE漏洞利用具体操作?XXE-扩展? 一、什么是XXE? 用户输入的数据被当做XML代码执行 XXE是XML实体注入,我们利用XML中DTD部分可以从外获取数据的特点,通过发起请求、操作协议的方法,对目标的内网进行探测。 二、XML是什么? 1、XML是一种可拓展的标记语言,很类似与HTML 2、XML用于传输数据 3、XML没有被预定义,所有的东西都需自己定义(任何标签都没有任何意义) .转载 2021-03-30 11:13:17 · 131 阅读 · 0 评论 -
SSRF 服务器端请求伪造
SSRF 服务器端请求伪造 一、SSRF是什么?二、SSRF长什么样?三、如何利用SSRF?四、如何绕过防护拦截? 一、SSRF是什么? SSRF是服务器端请求伪造的英文缩写,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 当你可以控制一个网站去访问其他网站的时候,这个网站就有可能存在SSRF。这意味着你可以用这个网站的名义去访问其他网站,这就存在一个问题,我们这时就有可能访问到原本访问不到的网站,比如一些内网网站。因为用的是内网自己人的名义,所以防火墙不会拦截,从而可以进一步发掘.转载 2021-03-30 11:04:29 · 104 阅读 · 0 评论