XXE 漏洞基本的了解
XXE 注入html
在开始以前,先认识一下,最多见的XXE漏洞类型,这样有助于攻击并创造最终正确的 POC:app
1.基础的 XXE 注入——外部实体注入本地 DTD。ide
2.基于盲注的 XXE 注入—— XML 解析器在响应中不显示任何错误。学习
3.基于错误的 XXE 注入——成功解析以后,XML 解析器始终显示 SAME 响应。即“你的消息已被接收”,所以,咱们可能但愿解析器将文件的内容 打印 到错误响应中。ui
XXE是一个很是强大的攻击,它容许咱们操纵错误的XML解析器并利用它们。请注意,有更多的技术和攻击利用方式能够经过XXE注入完成。如前所述,每一个解析器都有不一样的能力,所以咱们能够提出不一样的漏洞;;htm
看了一张相关的文章因此知道了 XXE 漏洞攻击;it
https://www.secpulse.com/archives/58915.htmlgui
还有一个下载的实验;https://appsec-labs.com/portal/wp-content/uploads/2016/09/XXE-demo-try-it-onyourself.rar基础
这个文章有一个原文连接:https://appsec-labs.com/portal/xxe-attacking-guide/下载
看了几个 XXE 漏洞不少文章都是在2016 2017 的;事后作一下这个 XXE 漏洞实验;
看了一个内网大杀器利用:CVE - 2019 - 1024 漏洞
连接以下:
https://msd.misuland.com/pd/3255817997595445898
学习一下
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 安装cuda+cuDNN
- 2. GitHub的使用说明
- 3. phpDocumentor使用教程【安装PHPDocumentor】
- 4. yarn run build报错Component is not found in path “npm/taro-ui/dist/weapp/components/rate/index“
- 5. 精讲Haproxy搭建Web集群
- 6. 安全测试基础之MySQL
- 7. C/C++编程笔记:C语言中的复杂声明分析,用实例带你完全读懂
- 8. Python3教程(1)----搭建Python环境
- 9. 李宏毅机器学习课程笔记2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里云ECS配置速记
欢迎关注本站公众号,获取更多信息
相关文章
- 1. xxe漏洞
- 2. XXE漏洞
- 3. 浅入深出了解XXE漏洞
- 4. XXE漏洞简析
- 5. web漏洞之XXE
- 6. XXE漏洞分析
- 7. XXE漏洞学习
- 8. XXE漏洞原理
- 9. xxe漏洞学习(1)
- 10. CTF XXE漏洞攻击