XML基础知识 实体 一般实体 参数实体 内部实体声明方式 <!ENTITY 实体名 "文本内容"& ...

注入漏洞： 　　XXE漏洞全称XML External Entity Injection即xml外部 ...

<script>alert(xss)</script> scr=1 onerror=alert('xss')>当找不到图片名为1的文件时，执行alert ...

最近在调试代码时发现有Request Payload的情况，从网上查一些文件，也都有较多的描述。下面我只是说明一下大家没有注意的地方 关于HTTP请求，都是通过URL及参数向后台发送数据。主要方式有GET, POST。对这两种方式，GET的参数都会放在URL的后面，一般称之为query参数 ...

iss (issuer)：签发人 sub (subject)：主题 aud (audience)：受众 exp (expiration time)：过期时间 nbf (Not Before)：生效时间 ...

XXE漏洞概述 XXE(XML External Entity Injection) 漏洞发生在应用程序解析 XML 解析时，没有禁止外部实体的执行的权限，利用支持的协议进行内网探测和入侵（不用的语言支持的协议不一致）， 参考https://security.tencent.com ...

XSS/CSRF/SSRF/XXE 参考： https://www.jianshu.com/p/4fcb4b411a66 https://www.kanxue.com XSS 概述 Cross Site Scripting 简称 XSS(跨站脚本攻击)。是一种注入攻击，当web应用 ...

最近在审计某银行的Java代码时，发现许多上传Excel文件的接口，允许后缀是xslx文件，xslx文件是由xml文件组成的，可以改成.zip的文件后缀名进行解压，所以如果如果没有禁用外部实体，会存在XXE漏洞。下面的测试使用Java语言进行blind-xxe测试。 1、测试环境 ...