外部实体注入漏洞
当允许引用外部实体时,会造成外部实体注入(XXE)漏洞。通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害 根据有无回显的情况,XXE 漏洞可分为如下两种: 12有回显的XXE无回显的XXE 以 XXE-Lab 靶场来进行演示 有回显 XXE 先在自己的 C 盘目录下创建一个 txt 文件,内容随便,这里就以 1.txt 和 hacker!!!来进行演示 12UserName:&b;Password:admin 抓包 Login 并发送到重发器 这里可以看到是以 xml 的形式发送到 doLogin.php 进行解析,那就直接试着在...
more...