XXE和文件包含总结 - 走看看

zoukankan html css js c++ java

XXE和文件包含总结

掌握基础知识

XML、DTD、文件包含函数、一些伪协议

漏洞环境搭建

下载链接

https://github.com/zhuifengshaonianhanlu/pikachu

下载链接

https://github.com/c0ny1/xxe-lab

漏洞利用条件

有XML传输的地方(XXE)、有引用外部文件的地方(文件包含)

漏洞的原理

利用XML语法结构，使用相关的协议来进行漏洞利用。
包含某一个文件

漏洞POC编写

暂无POC编写,需手工验证

漏洞的防御

XXE

1.禁止使用外部实体,例如libxml_disable_entity_loader(true)
2.过滤用户提交的XML数据,防止出现非法内容

文件包含

1.关闭危险的文件打开函数
2.过滤特殊字符，如：.(点)、/(斜杠)、(反斜杠)
3.使用Web检测文件内容

查看全文

相关阅读:
逻辑卷管理LVM (Logical Volume Manager)
Windows Server 2008 R2 域控修改域用户密码复杂性
 win7 加域开机自动登录域用户
 红帽Linux 配置VNC桌面远程工具
 Redhat linux 挂载命令mount
SUSE Linux 防火墙设置
 IPv4 地址分类
 常用RAID简介_001
Element UI
ie中datepicker赋值不成功

原文地址：https://www.cnblogs.com/lyxsalyd/p/13355854.html

Copyright © 2011-2022 走看看