思維導圖 知識點 XML被設計為傳輸和存儲數據，XML文檔結構包括XML聲明、DTD文檔類型定義（可選）、文檔元素，其焦點是數據的內容，其把數據從HTML分離，是獨立於軟件和硬件的信息傳輸工具。 XXE漏洞全稱XML External Entity Injection，即XML外部實體 ...

提示：建議先看day36-38的內容 TensorFlow™ 是一個采用數據流圖（data flow graphs），用於數值計算的開源軟件庫。節點（Nodes）在圖中表示數學操作，圖中的線（edges）則表示在節點間相互聯系的多維數據數組，即張量（tensor）。它靈活的架構 ...

引言 記錄一下XXE的學習要點。 XXE XXE （XML External Entity injection）XML 外部實體注入漏洞，如果XML 文件在引用外部實體時候，可以溝通構造惡意內容，可以導致讀取任意文件，命令執行和對內網的攻擊，這就是XXE漏洞。 所以在 ...

【WAF繞過】---漏洞利用之注入上傳跨站等繞過---day49 一、思維導圖 二、SQL注入 1、背景介紹 這個sqlilab是搭建在阿里雲服務器上，有安全狗。瀏覽器配置了代理池（付費的）。現對這個環境進行測試。 2、Sqlmap上代理 ①先給sqlmap修改下頭： 跑 ...

0x01概述 XXE（外部實體注入）是XML注入的一種，普通的XML注入利用面比較狹窄，如果有的話也是邏輯類漏洞。XXE擴大了攻擊面。 當允許引用外部實體時，就可能導致任意文件讀取、系統命令執行、內網端口探測、攻擊內網網站等危害。 防御方法：禁用外部實體（PHP ...

一個正常docx文檔，選擇 （2）填寫要替換的文件，word/document.xml （3）填寫 ...

weblogic之XXE利用與分析 本篇文章漏洞環境使用p神的CVE-2018-2628 本機IP：192.168.202.1 被攻擊主機IP：192.168.202.129 一、 xxer工具 1.1 簡介 xxer能快速搭建起xxe的盲注環境，下載地址：https ...

轉自：https://xz.aliyun.com/t/3357 一、XXE 是什么 介紹 XXE 之前，我先來說一下普通的 XML 注入，這個的利用面比較狹窄，如果有的話應該也是邏輯漏洞 如圖所示： 既然能插入 XML 代碼，那我們肯定不能善罷甘休，我們需要更多，於是出現了 XXE ...