摘要：0x01 什么是CRLF CRLF是“回车+换行”（\r和\n）/（%0d和%0a）的简称。 CRLF利用： 正常输入的请求中加入恶意代码，控制HTTP响应header中的字符（Location，Set-Cookie），注入一个 %0d%0a，可以控制首部，注入两个%0d%0a，可以控制主体， 浏览 阅读全文

摘要：0x01概述 XXE（外部实体注入）是XML注入的一种，普通的XML注入利用面比较狭窄，如果有的话也是逻辑类漏洞。XXE扩大了攻击面。 当允许引用外部实体时，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 防御方法：禁用外部实体（PHP：可以将libxml_disable_ 阅读全文