0x01概述 XXE（外部實體注入）是XML注入的一種，普通的XML注入利用面比較狹窄，如果有的話也是邏輯類漏洞。XXE擴大了攻擊面。 當允許引用外部實體時，就可能導致任意文件讀取、系統命令執行、內網端口探測、攻擊內網網站等危害。 防御方法：禁用外部實體（PHP ...

XSS跨站腳本攻擊：兩種情況。一種通過外部輸入然后直接在瀏覽器端觸發，即反射型XSS；還有一種則是先把利用代碼保存在數據庫或文件中，當web程序讀取利用代碼並輸出在頁面上時觸發漏洞，即存儲型XSS。DOM型XSS是一種特殊的反射型XSS。 危害：前端頁面能做的事它都能做。（不僅僅盜取cookie ...

注入漏洞： 　　XXE漏洞全稱XML External Entity Injection即xml外部 ...

這是我最早學習滲透的筆記了，現在回頭來看看就是它給我打開了這道門，操作起來還是很簡單的，建議大家在操作之前先去學習學習linux基礎和kali的用法，了解一下Metasploit滲透測試框架，說到這推 ...

一. 什么是文件上傳漏洞 Web應用程序通常會有文件上傳的功能, 例如在 BBS發布圖片 , 在個人網站發布ZIP 壓縮 包, 在辦公平台發布DOC文件等 , 只要 Web應用程序允許上傳文件, 就有可能存在文件上傳漏 洞. 什么樣的網站會有文件上傳漏洞? 大部分文件上傳漏洞 ...

跨站請求偽造：攻擊者可以劫持其他用戶進行的一些請求，利用用戶身份進行惡意操作。 例如：請求http://x.com/del.php?id=1 是一個刪除ID為1的賬號，但是只有管理員才可以操作，如果 ...

XXE漏洞概述 XXE(XML External Entity Injection) 漏洞發生在應用程序解析 XML 解析時，沒有禁止外部實體的執行的權限，利用支持的協議進行內網探測和入侵（不用的語言支持的協議不一致）， 參考https://security.tencent.com ...

　 一、XXE 是什么 XXE(XML External Entity Injection)，即xml外部實體注入，由於程序在解析輸入的數據過程中，解析了攻擊者偽造的外部實體造成的攻擊。 二、什么是xml： XML文件格式是純文本格式，在許多方面類似於HTML，XML由XML元素組成，每個 ...