PHP SOAP解析器信息泄露漏洞

最新推荐文章于 2024-04-21 11:49:50 发布
最新推荐文章于 2024-04-21 11:49:50 发布
阅读量291 收藏
点赞数 1
文章标签: php git 操作系统
原文链接:http://www.cnblogs.com/security4399/archive/2013/03/07/2948470.html
版权

漏洞名称:PHP SOAP解析器信息泄露漏洞
CNNVD编号:CNNVD-201303-093
发布时间:2013-03-07
更新时间:2013-03-07
危害等级:中危  中危
漏洞类型:信息泄露
威胁类型:远程
CVE编号:CVE-2013-1643

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
        PHP 5.3.22之前版本和5.4.13之前的5.4.x版本中的SOAP解析器中存在漏洞。通过包含XML外部实体声明和实体引用相结合的SOAP WSDL文件,远程攻击者利用该漏洞读取任意文件,与在soap_xmlParseFile和soap_xmlParseMemory函数中的XML External Entity (XXE)问题有关。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
        http://www.php.net/

转载于:https://www.cnblogs.com/security4399/archive/2013/03/07/2948470.html

weixin_30292745
关注
接口漏洞-WebService-wsdl+SOAP-Swagger+HTTP-WebPack
xiaoheizi的博客
07-20 4502
接口就是位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。 接口拥有各种功能,如:文件上传,查询,添加,删除,登录等等。我们就可以在这些接口上测试该功能漏洞
webservice 暴接口_web service(SOAP)与HTTP接口的区别
weixin_31281027的博客
12-29 803
web service(SOAP)与HTTP接口的区别什么是web service? soap请求是HTTP POST的一个专用版本,遵循一种特殊的xml消息格式Content-type设置为: text/xml任何数据都可以xml化。为什么要学习web service? 大多数对外接口会实现web service方法而不是http方法,如果你不会,那就没有办法对接。web service相对ht...
soap漏洞_SOAP路由绕行漏洞
cullen2012的博客
09-11 1223
soap漏洞 描述 ( Description ) The WS-Routing Protocol is a protocol for exchanging SOAP messages from an initial message sender to receiver, typically via a set of intermediaries. The WS-Routing protoco...
PHP内存泄问题解析
weixin_42124384的博客
11-11 319
PHP内存泄问题解析
从2022安洵杯[babyPHP]看Soap+CLRF造成SSRF漏洞
Aiwin的博客
11-28 2713
Soap+CLRF组合拳造成SSRF漏洞以及例题2022安洵杯 BabyPHP、[LCTF 2018]bestphp's revenge。
PHP之XXE漏洞靶场详解
sixoneyvye的博客
12-09 4037
PHP之XXE漏洞靶场详解 00x1 什么是XXE 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 00x2 XML基础知识 XML是一...
红队系列-SRC常用漏洞挖掘技巧
aming小老弟
12-08 1493
安全弱点sql 注入命令 注入深入利用xpath注入 (老式 ) 广泛了解乌云镜像薅羊毛。
SSRF漏洞浅析+ctfhub简单实战
热门推荐
wo41ge的博客
03-27 1万+
花时间 写一下SSRF 凑合看吧 2020/3/24 14.26 漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。 正是因为恶意请求由服务端发起,而服务端能够请求到与自身相连而与外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 ssrf csrf 重放攻击 换行注入 漏洞成因 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 1889
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
php.ini 配置详解
An丶的博客
05-03 713
[PHP] engine = On --->                      是否启用PHP解析引擎 short_open_tag = Off --->          是否使用简介标志 asp_tags = Off --->                   不允许asp类标志 precision = 14 --->          ...
基于SOAP消息组合变异的web服务漏洞测试
04-27
基于SOAP消息组合变异的web服务漏洞测试 相关知识
(39.3)【XML漏洞专题】XML注入——查找、注入、防止SOAP
08-20 2138
【XML漏洞专题】XML注入——查找、注入、防止SOAP
漏洞&修复规范描述
数据安全学习分享
08-07 1248
严重不安全系统高危不安全系统中危不安全系统低危不安全系统安全系统严重漏洞高危漏洞中危漏洞低危漏洞认证应用主机APP代码web 后台系统弱口令详情由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,例如上传 webshell,获取敏感数据,另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作。造成的危害攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。修复建议用户层面系统层面ft
解决cxf Available SOAP services暴其他接口
J.G.Darkd
06-30 3748
[code="java"] CXFServlet org.apache.cxf.transport.servlet.CXFServlet Hides the listing of available services when set to true. It is considered a security...
PHP反序列化漏洞总结
u013797594的博客
06-11 2554
PHP反序列化漏洞总结
SOAP注入
hackzkaq的博客
03-21 5274
零基础学黑客,搜索公众号:白帽子左一 soap 注入简介 soap注入就是在webservice 的soap协议,连接web服务和客户端的接口处的注入,通过在发送的soap消息参数内添加注入语句来达到注入效果,常见的有sql注入,也有xml注入,代码注入 什么是soap 首先介绍webservice,webservice是一种跨平台,跨语言的规范,用于不同平台,不同语言间的交互,webservice有三要素,分别为soap,wsdl和uddl,uddl用于提供发布和查询webservice方法,wsdl是
自我认为挺全面的【Web Service渗透测试总结】
HBohan的博客
02-18 761
Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。
第65天:API攻防-接口安全&WebPack&REST&SOAP&WSDL&WebService
最新发布
weixin_71529930的博客
04-21 1772
本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。但是也需要去一个一个的点,还有一款自动化的工具readapi(收费),并且该工具可以直接测试安全问题,输入刚才地址自动检测,然后生成报告。议规范,是一种轻量的、简单的、基于 XML(标准通用标记语言下的一个子集)的协议,XSS跨站,信息泄露,暴力破解,文件上传,未授权访问,JWT授权认证,接口滥用等。
一文搞懂WebService
Wind的博客
10-30 2460
风吹起了从前,看着天边似在眼前,万般流连~
PHP调用SOAP演示:编写简单DEMO
资源摘要信息: "PHP调用SOAP服务DEMO" 在当今的软件开发领域中,SOAP (Simple Object Access Protocol) 是一种基于XML的消息传递协议,用于在网络上进行分布式环境下的对象调用。它允许应用程序使用HTTP协议来交换...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值