小試XML實體注入攻擊

基礎知識 XML（Extensible Markup Language）被設計用來傳輸和存儲數據。關於它的語法，本文不准備寫太多，只簡單介紹一下。 XML基本知識 ...

一道CTF針對XXE漏洞的練習

題目鏈接：http://web.jarvisoj.com:9882/ 目的很明確獲取/home/ctf/flag.txt的內容 一般讀取目標機的本地文件都會用到file協議。 思路： 那么 ...

神奇的Content-Type——在JSON中玩轉XXE攻擊

大家都知道，許多WEB和移動應用都依賴於Client-Server的WEB通信交互服務。而在如SOAP、RESTful這樣的WEB服務中，最常見的數據格式要數XML和JSON。當WEB服務使用XML或 ...