xml注入漏洞

企业开发 2018-10-17 21:00:39 阅读次数: 0

1.什么是xml注入(xxe)?

     1.jpg

2.什么是xml实体?

     2.png

3.xml的引用方式

      17.png

      18.jpg

      4.png

      6.png

      8.jpg

4.什么是DTD文档?

     7.jpg

5.DOCTYPE声明

           19.jpg

      9.jpg

            16.jpg

           10.jpg

           11.png

6.xml外部实体注入

         12.jpg

    伪协议

         13.jpg

           14.jpg

           20.jpg

7.xml的危害

        15.png  

8.xml的用法

      28.jpg

    通过回显显示xml反馈结果

  • 直接输出      

       22.png

       21.jpg 

  •   直接通过读取文件内容

       23.jpg

  • 通过ip地址读取文件

      24.jpg

       25.jpg

  • 读取php文件

      26.jpg

  • 读取dtd文件 

       27.jpg

    不直接进行回显

         29.jpg

            31.jpg

            32.jpg

             33.jpg

   xml的命令执行

          30.jpg

   xml使用ftp协议

           34.jpg

9.xml漏洞修复

          35.jpg

           36.jpg

10.***f漏洞

           37.jpg

            38.jpg

            39.png

猜你喜欢

转载自blog.51cto.com/13905896/2301474
今日推荐
Linus “吃狗粮”最积极!
开源日报 | Winamp播放器即将开源;生成式AI之战升级第二轮;Linus“吃狗粮”最积极;AI进入泡沫前期;吴泳铭为阿里云带来了什么?
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
周排行
SVN服务端安装在阿里云
实战 | 相机标定
webpack核心概念
note20——》只要肯低头吃苦,人生就会有救
PAT甲级 1062 Talent and Virtue (25 分)排序
NG Toolset开发笔记--5GNR Resource Grid(26)
如何对待上司
oracle命令
第9章 STL迭代器
logstash使用es映射模板
每日归档
更多
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022