0x00 XML基础 在介绍xxe漏洞前，先学习温顾一下XML的基础知识。XML被设计为传输和存储数据，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。 0x01 XML文档结构 XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素 ...

0x01 Weblogic简介 1.1 叙述 Weblogic是美国Oracle公司出品的一个应用服务器(application server)，确切的说是一个基于Java EE架构的中间件，是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器 ...

CSRF是什么？ CSRF（Cross Site Request Forgery），中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。 举个例子 简单版 ...

通过HTTP头部字段防御措施整理 X-Frame-Options #反劫持 X-XSS-Protection #开启浏览器防XSS功能 Set X-Frame-Options CSP X-Content-Type-Options: nosniff #改会影响浏览器的行为 ...

，javascript，http头所以都可能发生相应上下文的漏洞，如xss等等，但是同时，即使只是对于URL跳 ...

一 前言： 在针对web的攻击中，攻击者想要取得webshell，最直接的方式就是将web木马插入服务器端进行成功解析，那么如何历劫成功解析？假设服务器为php语言结构，那么针对上传点就是利用PHP木马，并且要求木马的后缀为.php进行保存。因此，上传木马的过程中就是在web系统 ...

　　最近在维护一些老项目，调试时发现请求屡屡被拒绝，仔细看了一下项目的源码，发现有csrf token校验，借这个机会把csrf攻击学习了一下，总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范，接下来会再写一篇文章，从源码中来学习一下实战中是如何防御csrf攻击的。 　　主要内容 ...

今天看到一篇公众号文章写的关于中间件漏洞的整理，里面有部分是我不知道的，转载一下， https://mp.weixin.qq.com/s/2rSNjMxHZjAGMmzKStF28w 第一章：IIS IIS 6 解析漏洞 ...