XXE漏洞

XXE漏洞的简单介绍

1. 漏洞定义XXE(XML外部实体注入) 是一种利用XML解析器处理外部实体时的安全缺陷,攻击者通过注入恶意外部实体,实现敏感数据读取、服务器端请求伪造(SSRF)或远程代码执行…

漏洞分析 2025.02.14 28人浏览
XXE漏洞漏洞

XXE漏洞攻击场景的一些解析

1. 敏感文件泄露攻击原理通过XML外部实体引用本地文件系统路径,利用未正确配置的XML解析器读取服务器敏感文件具体Payload示例读取Linux系统文件:<?xml ve…

漏洞分析 2025.02.14 28人浏览
XXE实战XXE攻击XXE漏洞
XXE从入门到精通缩略图

XXE从入门到精通

XXE从入门到精通一、前置知识1. 什么是XXE在应用程序解析XML时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站…

网络安全 2025.01.22 111人浏览
web安全XXE攻击XXE漏洞
嵌套反序列化的危害:Magento XXE 漏洞分析(CVE-2024-34102)缩略图

嵌套反序列化的危害:Magento XXE 漏洞分析(CVE-2024-34102)

前言Magento 是当前网络上最受欢迎的电子商务解决方案之一,截至2023年末,全球超过 140000 个 Magento 实例正在运行。2024年6月11日,Adobe 发布的…

网络安全 2024.12.31 190人浏览
Magentoweb安全XXE漏洞

深入挖掘:install4j更新机制中的XXE漏洞

前言在一个宁静的周末,我决定探索一些常见的软件安全问题,以提升自己的技能。作为一名网络安全爱好者,我一直对软件更新机制的安全性特别感兴趣。在这个过程中,我偶然发现了一个广泛使用的多…

网络安全 2024.12.03 281人浏览
JAVA安全web安全XXE漏洞