一、背景 昨天（2018-07-04）微信支付的SDK曝出重大漏洞（XXE漏洞），通过该漏洞，攻击者可以获取服务器中目录结构、文件内容，如代码、各种私钥等。获取这些信息以后，攻击者便可以为所欲 ...

0x01概述 XXE（外部实体注入）是XML注入的一种，普通的XML注入利用面比较狭窄，如果有的话也是逻辑类漏洞。XXE扩大了攻击面。 当允许引用外部实体时，就可能导致任意文件读取、系统命 ...

反射型XSS 查看页面： 第一个输入框与下面Hello后的内容相同，猜测可以通过该输入，改变页面内容。 进行测试： <script>alert(1)</script> ...

0x00 前言 xxe-lab是一个一个包含php,java,python,C#等各种语言版本的XXE漏洞Demo这里附上下载链接https://github.com/c0ny1/xxe-lab我们 ...

0x00 靶场介绍 bwapp是一款非常好用的漏洞演示平台，包含有100多个漏洞。开源的php应用后台Mysql数据库。 0x01 安装 BWAPP有两种安装方式，一种是单独安装，需 ...

XXE 参考文章 名称 地址 一篇文章带你深入理解漏洞之 XXE 漏洞 https://xz.aliyun.com/t/ ...

0×00 介绍现在越来越多主要的web程序被发现和报告存在XXE(XML External Entity attack)漏洞，比如说facebook、paypal等等。 举个例子，我们扫一眼这些网站最 ...

0x00 XML基础 在介绍xxe漏洞前，先学习温顾一下XML的基础知识。XML被设计为传输和存储数据，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。 0x01 X ...