漏洞挖掘与利用
zy_strive_2012
天道酬勤
展开
-
JAVA中XXE漏洞线索函数
XXE审计函数XML解析一般在导入配置、数据传输接口等场景可能会用到,涉及到XML文件处理的场景可查看XML解析器是否禁用外部实体,从而判断是否存在XXE。部分XML解析接口(常见漏洞出现函数)如下:...原创 2020-08-04 20:37:14 · 344 阅读 · 0 评论 -
XML外部实体(XXE)注入详解
###XML与xxe注入基础知识1.XMl定义XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。XML:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),.转载 2020-07-30 11:48:06 · 5349 阅读 · 1 评论 -
XXE攻击指南
现在许多不同的客户端技术,如web端,移动端,云端等使用XML向业务应用程序发送消息。为了使应用程序使用这些自定义的XML消息,应用程序必须去解析XML文档并检查格式是否正确。本文将描述XML外部实体(XXE)注入攻击及其基础知识,以便更好地了解如何攻击以及如何处理。既然我们将谈论XXE注入,那么首先我们应该了解外部实体的含义以及实现的内容。外部实体是指XML处理器必须解析的数据。它对于在多个文档之间创建共享的公共引用很有用。对外部实体进行的任何更改将在包含对其的引用的文档中自动更新。即XML使转载 2020-07-30 09:36:57 · 416 阅读 · 0 评论