最近在审计某银行的Java代码时，发现许多上传Excel文件的接口，允许后缀是xslx文件，xslx文件是由xml文件组成的，可以改成.zip的文件后缀名进行解压，所以如果如果没有禁用外部实体，会存在XXE漏洞。下面的测试使用Java语言进行blind-xxe测试。 1、测试环境 ...

Excel中的XXE攻击 一、准备阶段 所需环境 idea 原理：xslx文件是由xml文件组成的，可以改成.zip的文件后缀名进行解压，所以如果如果没有禁用外部实体，会存在XXE漏洞。poi这个依赖可以解析excel首先是解析xml，所以导致。 打开idea，创建一个maven环境 ...

介绍XXE漏洞 XML外部实体注入(XML External Entity)简称XXE漏洞，XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是-种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)文档元素。 常见 ...

XML External Entity attack/XXE攻击 1、相关背景介绍 可扩展标记语言（eXtensible Markup Language，XML）是一种标记语言，被设计用来传输和存储数据。XML应用极其广泛，如： * 普通列表项目文档格式：OOXML ...

XML基础知识 实体 一般实体 参数实体 内部实体声明方式 <!ENTITY 实体名 "文本内容"& ...

浅谈 DDoS 攻击与防御 原创： iMike 运维之美 什么是 DDoS DDoS 是英文 Distributed Denial of Service 的缩写，中文译作分布式拒绝服务。那什么又是拒绝服务（Denial of Service）呢？凡是能导致合法用户不能够正常 ...

漏洞名称： 短信攻击、短信轰炸、短信DDOS攻击 描述： 该攻击是常见的一种攻击，攻击者通过网站页面中所提供的发送短信验证码的功能处，通过对其发送数据包的获取后，进行重放，如果服务器短信平台未做校验的情况时，系统会一直去发送短信，这样就造成了短信轰炸的漏洞。 检测条件 ...

解析器的配置不完善，在JSON传输的终端可能会遭受XXE攻击，也就是俗称的XML外部实体攻击。 XXE ...