Portswigger是著名神器Burpsuite的官方網站，實際上也是一個非常好的漏洞訓練平台，但在國內信安圈卻鮮有提及，因此從今天開始i春秋論壇作家「dll_s」表哥將對其進行全面系統的介紹。 官網鏈接：https://portswigger.net/web-security 以下簡稱 ...

0x00 前言 xxe-lab是一個一個包含php,java,python,C#等各種語言版本的XXE漏洞Demo這里附上下載鏈接https://github.com/c0ny1/xxe-lab我們用php來演示 注意：這里我們要求php版本為5.2，5.3，5.4，因為他們的libxml版本 ...

寫在前面 安全測試fortify掃描接口項目代碼，暴露出標題XXE的問題, 記錄一下。官網鏈接: https://www.owasp.org/index.php/XML_External_Entity_(XXE ...

這幾天，想復習一下xxe的知識，於是把以前的一個靶場拿過來玩玩，順便審計一下代碼2333，靶場地址：https://github.com/c0ny1/xxe-lab 首先先練習的是php-xxe： ...

XXE漏洞又稱XML外部實體注入（XML External Entity） 介紹XXE漏洞前先說一下什么是XML XML語言 XML用於標記電子文件使其具有結構性的標記語言，可以用來標記數據定義數據類型，是一種允許用戶對自己的標記語言進行定義的源語言 xml的特性 1：無行為：xml只 ...

XXE (XML External Entity Injection) 0x01 什么是XXE XML外部實體注入 若是PHP ...

0x00 XML基礎 在介紹xxe漏洞前，先學習溫顧一下XML的基礎知識。XML被設計為傳輸和存儲數據，其焦點是數據的內容，其把數據從HTML分離，是獨立於軟件和硬件的信息傳輸工具。 0x01 XML文檔結構 XML文檔結構包括XML聲明、DTD文檔類型定義（可選）、文檔元素 ...

XML基礎知識 實體 一般實體 參數實體 內部實體聲明方式 <!ENTITY 實體名 "文本內容"& ...