前言 1 前言 XXE漏洞 XXE漏洞全称(XML External Entity Injection)即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击 ...

前言 Portswigger是Burpsuite的官网，也是一个非常好的漏洞训练平台。其Web安全靶场地址为：https://portswigger.net/web-security/ 该靶场的训练内容侧重于对Burpsuite各项功能的深入挖掘，这也是《黑客攻防技术宝典Web实战篇》的实战 ...

漏洞描述 SSRF（Server-Side Request Forgery，服务器端请求伪造）：通俗的来说就是我们可以伪造服务器端发起的请求，从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数，并且未对客户端所传输过来的URL参数 ...

什么是SSRF漏洞 SSRF(服务器端请求伪造)是一种由攻击者构造请求，服务器端发起请求的安全漏洞，所以，一般情况下，SSRF攻击的目标是外网无法访问的内部系统。 SSRF漏洞形成原理。 SSRF的形成大多数是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制 ...

ssrf漏洞分析 关于ssrf 首先简单的说一下我理解的ssrf，大概就是服务器会响应用户的url请求，但是没有做好过滤和限制，导致可以攻击内网。 ssrf常见漏洞代码 首先有三个常见的容易造成ssrf漏洞的函数需要注意 下面是本地搭建环境测试 ...

前言 起来吃完早饭就开始刷攻防世界的题，一个简单的文件包含题我竟然都做不出来我服了 拿出买的书开始从头学习总结文件包含漏洞！ 一、文件包含漏洞 文件包含漏洞 文件包含函数的参数没有经过过滤或者严格的定义，并且参数可以被用户控制，这样就可能包含非预期文件。如果文件中存在恶意代码，无论文 ...

前言 XSS漏洞 Xss（Cross-Site Scripting）意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。XSS漏洞是一种在WEB应用中常见的安全漏洞，它孕育用户将恶意代码植入web页面 ...

直接定位SearchPublicRegistries.jsp文件，47行接受输入的变量。 结果输出位置在120行 SearchPublicRegistries.jsp引入com.bea.uddi ...