XXE 漏洞基本的瞭解
XXE 注入html
在開始以前,先認識一下,最多見的XXE漏洞類型,這樣有助於攻擊並創造最終正確的 POC:app
1.基礎的 XXE 注入——外部實體注入本地 DTD。ide
2.基於盲注的 XXE 注入—— XML 解析器在響應中不顯示任何錯誤。學習
3.基於錯誤的 XXE 注入——成功解析以後,XML 解析器始終顯示 SAME 響應。即「你的消息已被接收」,所以,咱們可能但願解析器將文件的內容 打印 到錯誤響應中。ui
XXE是一個很是強大的攻擊,它容許咱們操縱錯誤的XML解析器並利用它們。請注意,有更多的技術和攻擊利用方式能夠經過XXE注入完成。如前所述,每一個解析器都有不一樣的能力,所以咱們能夠提出不一樣的漏洞;;htm
看了一張相關的文章因此知道了 XXE 漏洞攻擊;it
https://www.secpulse.com/archives/58915.htmlgui
還有一個下載的實驗;https://appsec-labs.com/portal/wp-content/uploads/2016/09/XXE-demo-try-it-onyourself.rar基礎
這個文章有一個原文連接:https://appsec-labs.com/portal/xxe-attacking-guide/下載
看了幾個 XXE 漏洞不少文章都是在2016 2017 的;事後作一下這個 XXE 漏洞實驗;
看了一個內網大殺器利用:CVE - 2019 - 1024 漏洞
連接以下:
https://msd.misuland.com/pd/3255817997595445898
學習一下
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. xxe漏洞
- 2. XXE漏洞
- 3. 淺入深出了解XXE漏洞
- 4. XXE漏洞簡析
- 5. web漏洞之XXE
- 6. XXE漏洞分析
- 7. XXE漏洞學習
- 8. XXE漏洞原理
- 9. xxe漏洞學習(1)
- 10. CTF XXE漏洞攻擊