应为这一阵正好在学习SSRF漏洞，又苦于本人太菜没有挖到SSRF，只能复现... 先贴出很早之前央视网SSRF可窥探内网（Weblogic SSRF案例）：https://www.secpulse. ...

介绍 这几天在学习XXE漏洞，这里用靶机bwapp来练习一下这个漏洞，重在学习 xxe漏洞主要针对webservice危险的引用的外部实体并且未对外部实体进行敏感字符的过滤，从而可以造成命令执行， ...

XML实体注入基础 当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 简单了解XML以后，我们知道要在XML中使用特殊字符，需要使用实体 ...