0x00、XXE漏洞 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害 ...

0x00、XXE漏洞攻击实例 攻击思路： 1. 引用外部实体远程文件读取 2. Blind XXE 3. Dos 0x01、外部实体引用，有回显 实验操作平台：bWAPP平台上的XXE题目 题目： 进行抓包，点击Any bugs？按钮，抓包如下： 可以看到 ...

XXE漏洞又称XML外部实体注入（XML External Entity） 介绍XXE漏洞前先说一下什么是XML XML语言 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言 xml的特性 1：无行为：xml只 ...

0x01 Weblogic简介 1.1 叙述 Weblogic是美国Oracle公司出品的一个应用服务器(application server)，确切的说是一个基于Java EE架构的中间件，是用于开发、集成、部署和管理大型分布式Web应用、网络应用和 数据库应用的Java应用服务器 ...

前言 对于xxe漏洞的认识一直都不是很清楚，而在我为期不长的挖洞生涯中也没有遇到过，所以就想着总结一下，撰写此文以作为记录，加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记 ...

，javascript，http头所以都可能发生相应上下文的漏洞，如xss等等，但是同时，即使只是对于URL跳 ...

这两天整理和编写了csrf的靶场，顺便也复习了以前学习csrf的点，这里记录下学习的总结点。 0x01 关于CSRF 跨站请求伪造 CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求 ...

一 前言： 在针对web的攻击中，攻击者想要取得webshell，最直接的方式就是将web木马插入服务器端进行成功解析，那么如何历劫成功解析？假设服务器为php语言结构，那么针对上传点就是利用PHP木马，并且要求木马的后缀为.php进行保存。因此，上传木马的过程中就是在web系统 ...