zoukankan      html  css  js  c++  java
  • 三十九:WEB漏洞-XXE&XML之利用检测绕过全解

               XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义,文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,既XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网站等危害
    	
    	本质就是网站接受XML文件数据,但是没有进行过滤。
    	
    XML与HTML差异
    XML被设计为传输和存储数据
    
    HTML被设计用来显示数据,其焦点是数据的外观
    HTML岂在显示信息,而XML岂在传输信息
    
    涉及无回显读取                                                                  
    涉及更改type类型
    
    扫描IP及端口,扫描探针目录,抓包探针XXE安全,利用XXE读取源码,flag指向文件,base32 64解密,php运行,flag
  • 相关阅读:
    golang-uuid
    golang-random随机数
    git status检测不到文件变化
    vimium
    go1.11新特性,mark一下
    HTML网页滚动加载--mark一下
    docker-清理none镜像等操作
    golang websocket
    postman 快捷方式--启动图标
    tmux基本操作
  • 原文地址:https://www.cnblogs.com/SnowSec/p/14371816.html
Copyright © 2011-2022 走看看