2020年5月4日
Excel中的XXE攻击
摘要: 最近在审计某银行的Java代码时,发现许多上传Excel文件的接口,允许后缀是xslx文件,xslx文件是由xml文件组成的,可以改成.zip的文件后缀名进行解压,所以如果如果没有禁用外部实体,会存在XXE漏洞。下面的测试使用Java语言进行blind xxe测试。 1、测试环境 解析Excel文件 阅读全文
posted @ 2020-05-04 12:14 kimjun 阅读(5785) 评论(0) 推荐(0)