最近在審計某銀行的Java代碼時，發現許多上傳Excel文件的接口，允許后綴是xslx文件，xslx文件是由xml文件組成的，可以改成.zip的文件后綴名進行解壓，所以如果如果沒有禁用外部實體，會存在XXE漏洞。下面的測試使用Java語言進行blind-xxe測試。 1、測試環境 ...

Excel中的XXE攻擊 一、准備階段 所需環境 idea 原理：xslx文件是由xml文件組成的，可以改成.zip的文件后綴名進行解壓，所以如果如果沒有禁用外部實體，會存在XXE漏洞。poi這個依賴可以解析excel首先是解析xml，所以導致。 打開idea，創建一個maven環境 ...

介紹XXE漏洞 XML外部實體注入(XML External Entity)簡稱XXE漏洞，XML用於標記電子文件使其具有結構性的標記語言，可以用來標記數據、定義數據類型，是-種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)文檔元素。 常見 ...

XML External Entity attack/XXE攻擊 1、相關背景介紹 可擴展標記語言（eXtensible Markup Language，XML）是一種標記語言，被設計用來傳輸和存儲數據。XML應用極其廣泛，如： * 普通列表項目文檔格式：OOXML ...

XML基礎知識 實體 一般實體 參數實體 內部實體聲明方式 <!ENTITY 實體名 "文本內容"& ...

淺談 DDoS 攻擊與防御 原創： iMike 運維之美 什么是 DDoS DDoS 是英文 Distributed Denial of Service 的縮寫，中文譯作分布式拒絕服務。那什么又是拒絕服務（Denial of Service）呢？凡是能導致合法用戶不能夠正常 ...

漏洞名稱： 短信攻擊、短信轟炸、短信DDOS攻擊 描述： 該攻擊是常見的一種攻擊，攻擊者通過網站頁面中所提供的發送短信驗證碼的功能處，通過對其發送數據包的獲取后，進行重放，如果服務器短信平台未做校驗的情況時，系統會一直去發送短信，這樣就造成了短信轟炸的漏洞。 檢測條件 ...

解析器的配置不完善，在JSON傳輸的終端可能會遭受XXE攻擊，也就是俗稱的XML外部實體攻擊。 XXE ...