摘要:
今天给大家介绍的是一款名叫XXEinjector的漏洞利用工具,XXEinjector是一款基于Ruby的XXE注入工具, 它可以使用多种直接或间接带外方法来检索文件。其中,目录枚举功能只对Java应用程序有效,而暴力破解 攻击需要使用到其他应用程序。 XXEinjector注入工具的使用 XXEi 阅读全文
摘要:
SSRF(服务端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF形成的原因:服务端提供了从其他服务器应用获取数据的功能且没有对目标地址 阅读全文