摘要：0x00、XXE漏洞攻击实例 攻击思路： 1. 引用外部实体远程文件读取 2. Blind XXE 3. Dos 0x01、外部实体引用，有回显 实验操作平台：bWAPP平台上的XXE题目 题目： 进行抓包，点击Any bugs？按钮，抓包如下： 可以看到xxe-1.php页面以POST方式向xxe 阅读全文

摘要：0x00、XXE漏洞 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 X 阅读全文