思维导图 知识点 XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。 XXE漏洞全称XML External Entity Injection，即XML外部实体 ...

提示：建议先看day36-38的内容 TensorFlow™ 是一个采用数据流图（data flow graphs），用于数值计算的开源软件库。节点（Nodes）在图中表示数学操作，图中的线（edges）则表示在节点间相互联系的多维数据数组，即张量（tensor）。它灵活的架构 ...

引言 记录一下XXE的学习要点。 XXE XXE （XML External Entity injection）XML 外部实体注入漏洞，如果XML 文件在引用外部实体时候，可以沟通构造恶意内容，可以导致读取任意文件，命令执行和对内网的攻击，这就是XXE漏洞。 所以在 ...

【WAF绕过】---漏洞利用之注入上传跨站等绕过---day49 一、思维导图 二、SQL注入 1、背景介绍 这个sqlilab是搭建在阿里云服务器上，有安全狗。浏览器配置了代理池（付费的）。现对这个环境进行测试。 2、Sqlmap上代理 ①先给sqlmap修改下头： 跑 ...

0x01概述 XXE（外部实体注入）是XML注入的一种，普通的XML注入利用面比较狭窄，如果有的话也是逻辑类漏洞。XXE扩大了攻击面。 当允许引用外部实体时，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 防御方法：禁用外部实体（PHP ...

一个正常docx文档，选择 （2）填写要替换的文件，word/document.xml （3）填写 ...

weblogic之XXE利用与分析 本篇文章漏洞环境使用p神的CVE-2018-2628 本机IP：192.168.202.1 被攻击主机IP：192.168.202.129 一、 xxer工具 1.1 简介 xxer能快速搭建起xxe的盲注环境，下载地址：https ...

转自：https://xz.aliyun.com/t/3357 一、XXE 是什么 介绍 XXE 之前，我先来说一下普通的 XML 注入，这个的利用面比较狭窄，如果有的话应该也是逻辑漏洞 如图所示： 既然能插入 XML 代码，那我们肯定不能善罢甘休，我们需要更多，于是出现了 XXE ...