0x00、XXE漏洞 XXE漏洞全稱XML External Entity Injection 即xml外部實體注入漏洞，XXE漏洞發生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部文件和代碼，造成任意文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起Dos攻擊等危害 ...

0x00、XXE漏洞攻擊實例 攻擊思路： 1. 引用外部實體遠程文件讀取 2. Blind XXE 3. Dos 0x01、外部實體引用，有回顯 實驗操作平台：bWAPP平台上的XXE題目 題目： 進行抓包，點擊Any bugs？按鈕，抓包如下： 可以看到 ...

XXE漏洞又稱XML外部實體注入（XML External Entity） 介紹XXE漏洞前先說一下什么是XML XML語言 XML用於標記電子文件使其具有結構性的標記語言，可以用來標記數據定義數據類型，是一種允許用戶對自己的標記語言進行定義的源語言 xml的特性 1：無行為：xml只 ...

0x01 Weblogic簡介 1.1 敘述 Weblogic是美國Oracle公司出品的一個應用服務器(application server)，確切的說是一個基於Java EE架構的中間件，是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和 數據庫應用的Java應用服務器 ...

前言 對於xxe漏洞的認識一直都不是很清楚，而在我為期不長的挖洞生涯中也沒有遇到過，所以就想着總結一下，撰寫此文以作為記錄，加深自己對xxe漏洞的認識。 xml基礎知識 要了解xxe漏洞，那么一定得先明白基礎知識，了解xml文檔的基礎組成。 XML用於標記電子文件使其具有結構性的標記 ...

，javascript，http頭所以都可能發生相應上下文的漏洞，如xss等等，但是同時，即使只是對於URL跳 ...

這兩天整理和編寫了csrf的靶場，順便也復習了以前學習csrf的點，這里記錄下學習的總結點。 0x01 關於CSRF 跨站請求偽造 CSRF（Cross-site request forgery）跨站請求偽造：攻擊者誘導受害者進入第三方網站，在第三方網站中，向被攻擊網站發送跨站請求 ...

一 前言： 在針對web的攻擊中，攻擊者想要取得webshell，最直接的方式就是將web木馬插入服務器端進行成功解析，那么如何歷劫成功解析？假設服務器為php語言結構，那么針對上傳點就是利用PHP木馬，並且要求木馬的后綴為.php進行保存。因此，上傳木馬的過程中就是在web系統 ...