随笔分类 -  XXE漏洞

摘要：链接：https://pentesterlab.com/exercises/play_xxe/course Introduction This course details the exploitation of a XML entity bug in the Play framework. Thi 阅读全文

摘要：参考连接：https://www.christian-schneider.net/GenericXxeDetection.html In this article I present some thoughts about generic detection of XML eXternal Enti 阅读全文

摘要：1、 前言与XML格式相同的web漏洞，比较广泛的共有xpath注入、xml注入、soap注入、XXE四种。2、 XML相关的介绍针对xml语言，要明白两个特性：合法性与合理性。所谓合法性，是指语法层面（比如xml标签严格区分大小写，xml文档必须有一个根元素等）。所谓的合理性是指xml文档要有意义就必须满足一定的约束要求。在xml技术里，可以编写一个文档来约束一个xml文档的书写规范，这称之为X... 阅读全文

摘要：一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。DTD 可以在 X 阅读全文

摘要：大家都知道，许多WEB和移动应用都依赖于Client-Server的WEB通信交互服务。而在如SOAP、RESTful这样的WEB服务中，最常见的数据格式要数XML和JSON。当WEB服务使用XML或者JSON中的一种进行传输时，服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析 阅读全文

摘要：基础知识 XML（Extensible Markup Language）被设计用来传输和存储数据。关于它的语法，本文不准备写太多，只简单介绍一下。 XML基本知识 1 2 3 4 5 <?xml version="1.0" encoding="utf-8"?> <note> <to>chybeta< 阅读全文