网站建设如何敲图标代码,关键词代发排名首页,做传媒网站公司名称,我想做网站怎么做前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 本文整理XXE漏洞的相应信息 XML与XXE漏洞
这个东西有许多叫法#xff0c;XML漏洞与XXE漏洞差不多都是一个东西。
这个漏洞是出现在XMl上的#xff0c;然后可以叫他XXE注入漏洞。 XML简介
XML是一种数据的传输… 前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 本文整理XXE漏洞的相应信息 XML与XXE漏洞
这个东西有许多叫法XML漏洞与XXE漏洞差不多都是一个东西。
这个漏洞是出现在XMl上的然后可以叫他XXE注入漏洞。 XML简介
XML是一种数据的传输形式。
就是前端给后端后端给前端传参数用的
通常我们post提交数据是这样的。 user111pass222 还有一种是现在常用的json {login:[ {user:111,pass:222}, ]} 然后就是我们的XML
login id1user111/userpass222/pass
/login
跟html有点类似就是数据包里传给后端然后后端从里面解析数据的一种方式。 漏洞产生原因
由于后端接收XML之后会进行解析如果我们在XML中插入恶意代码的话那么后端就会执行恶意代码被攻击。 判断是否采用xml传输
content-type判断
数据包中的content-type会标识传输的类型。
这里是json的(现在绝大多数网站都是json)。 如果对方是XML格式的话这里就是XML了。 数据类型判断
直接看传递的数据。
如果是上面XML那个样子的格式那就是XML的。 基本攻击手法
就是利用XXE可以解析的特点执行恶意代码。
最主要的攻击手法是文件读取
?xml version1.0?
!DOCTYPE xiaodi [
!ENTITY test SYSTEM file:///d:/1.txt
]
userusernametest;/usernamepasswordxiaodi/password/user案例演示 剩下的绕过思路与特殊玩法以及靶场攻略在别的博客中
别着急。。一个个写。。在写了在写了。。。到时候链接放过来。 特殊玩法与绕过思路 ctfshowXXE靶场全攻略
