摘要:
原理 XXE漏洞发生在程序解析XML输入时, 没有禁止外部实体的加载, 导致可加载恶意外部文件, 造成文件读取, 命令执行, 内网端口扫描, 攻击内网网站等. 触发点 在可以上传XML文件的位置, 没对上传的XML文件进行过滤, 以至于可以上传恶意XML文件 在向服务器提交的位置, 使用XML形式提 阅读全文
摘要:
原理 XXE漏洞发生在程序解析XML输入时, 没有禁止外部实体的加载, 导致可加载恶意外部文件, 造成文件读取, 命令执行, 内网端口扫描, 攻击内网网站等. 触发点 在可以上传XML文件的位置, 没对上传的XML文件进行过滤, 以至于可以上传恶意XML文件 在向服务器提交的位置, 使用XML形式提 阅读全文
|