XML基礎知識 實體 一般實體 參數實體 內部實體聲明方式 <!ENTITY 實體名 "文本內容"& ...

注入漏洞： 　　XXE漏洞全稱XML External Entity Injection即xml外部 ...

<script>alert(xss)</script> scr=1 onerror=alert('xss')>當找不到圖片名為1的文件時，執行alert ...

最近在調試代碼時發現有Request Payload的情況，從網上查一些文件，也都有較多的描述。下面我只是說明一下大家沒有注意的地方 關於HTTP請求，都是通過URL及參數向后台發送數據。主要方式有GET, POST。對這兩種方式，GET的參數都會放在URL的后面，一般稱之為query參數 ...

iss (issuer)：簽發人 sub (subject)：主題 aud (audience)：受眾 exp (expiration time)：過期時間 nbf (Not Before)：生效時間 ...

XXE漏洞概述 XXE(XML External Entity Injection) 漏洞發生在應用程序解析 XML 解析時，沒有禁止外部實體的執行的權限，利用支持的協議進行內網探測和入侵（不用的語言支持的協議不一致）， 參考https://security.tencent.com ...

XSS/CSRF/SSRF/XXE 參考： https://www.jianshu.com/p/4fcb4b411a66 https://www.kanxue.com XSS 概述 Cross Site Scripting 簡稱 XSS(跨站腳本攻擊)。是一種注入攻擊，當web應用 ...

最近在審計某銀行的Java代碼時，發現許多上傳Excel文件的接口，允許后綴是xslx文件，xslx文件是由xml文件組成的，可以改成.zip的文件后綴名進行解壓，所以如果如果沒有禁用外部實體，會存在XXE漏洞。下面的測試使用Java語言進行blind-xxe測試。 1、測試環境 ...