一、背景 昨天（2018-07-04）微信支付的SDK曝出重大漏洞（XXE漏洞），通過該漏洞，攻擊者可以獲取服務器中目錄結構、文件內容，如代碼、各種私鑰等。獲取這些信息以后，攻擊者便可以為所欲 ...

0x01概述 XXE（外部實體注入）是XML注入的一種，普通的XML注入利用面比較狹窄，如果有的話也是邏輯類漏洞。XXE擴大了攻擊面。 當允許引用外部實體時，就可能導致任意文件讀取、系統命 ...

反射型XSS 查看頁面： 第一個輸入框與下面Hello后的內容相同，猜測可以通過該輸入，改變頁面內容。 進行測試： <script>alert(1)</script> ...

0x00 前言 xxe-lab是一個一個包含php,java,python,C#等各種語言版本的XXE漏洞Demo這里附上下載鏈接https://github.com/c0ny1/xxe-lab我們 ...

0x00 靶場介紹 bwapp是一款非常好用的漏洞演示平台，包含有100多個漏洞。開源的php應用后台Mysql數據庫。 0x01 安裝 BWAPP有兩種安裝方式，一種是單獨安裝，需 ...

XXE 參考文章 名稱 地址 一篇文章帶你深入理解漏洞之 XXE 漏洞 https://xz.aliyun.com/t/ ...

0×00 介紹現在越來越多主要的web程序被發現和報告存在XXE(XML External Entity attack)漏洞，比如說facebook、paypal等等。 舉個例子，我們掃一眼這些網站最 ...

0x00 XML基礎 在介紹xxe漏洞前，先學習溫顧一下XML的基礎知識。XML被設計為傳輸和存儲數據，其焦點是數據的內容，其把數據從HTML分離，是獨立於軟件和硬件的信息傳輸工具。 0x01 X ...