本文系pwn2web原创，转载请说明出处 XXE 漏洞，全名为XML External Entity Injection，由于程序在解析输入的XML数据时，解析了攻击者精心构造的外部实体。 一 预备知识 0x01 XML类型文件结构 XML设计用来传送及携带数据信息，不用 ...

DTD和Entity时，可能出现XXE漏洞，常见场景如pdf在线解析、word在线解析、定制协议或者其他可 ...

前一篇文章我谈到了需求分析，如何做出能满足用户需求的软件，最首先和最关键的是要学会需求分析，那么我们的用户在哪里呢？这篇文章就要来说说典型用户和典型场景。 在产品开发的过程中，我们经常需要描述一些典型的用户，以前大家通常是以一些抽象的名词来表示用户，如“家用电脑初学者 ...

注入漏洞： 　　XXE漏洞全称XML External Entity Injection即xml外部 ...

典型用户1 （1）名字：王松 （2）年龄：23 （3）收入：无 （4）代表的用户在市场上的比例和重要性：不可缺少的用户 （5）使用这个软件的典型场景：对自己不需要的二手书进行拍卖 （6）使用本软件的环境：有网络的地方 （7）工作情况：学生 （8）知识层次和能力：铁道大学毕业 ...

java中禁止外部实体引用的设置方法不止一种，这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的！最早是有朋友在群里发了如下一个pdf， 而当时已经是2019年1月末了，应该不是2018年7月份那个引起较大轰动的alipay java sdk的了，我突然虎躯 ...

吃了没做需求分析的亏 　　我们产品团队比较特殊，属于中途接手、临危受命，额，说临危也不至于，但坑确实不少。当时产品1.0版本已经发布，正在规划2.0版本，我们接手了，在三个月内更换了发动机（目标识别的核心算法）、重新设计制造了外观（前端和UI），按时发布了2.0版本。然而因为时间有限，传动、转向 ...

前言： XXE漏洞经常出现在CTF中，一直也没有系统的学习过，今天就来总结一波。 文章目录 一、XXE 漏洞是什么： 二、XML基础知识 ...