0x01 前言 逆推这个漏洞本身不难，主要记录下思路。 先看下漏洞描述： 该插件 1.20 及更早版本未配置其 XML 转换器以防止 XML 外部实体 (XXE) 攻击。这使攻击者能够配置视...

作者：Mr.zhang合天智汇​ 一般而言，在Java里碰到XXE，如果是有回显的，那自然很好办，如果是没有回显，那就需要我们构造通道来把数据带出，过去在XXE利用中，如果单纯使用HTTP协议（除了...

  XXE从入门到放弃  一、认识XML和XXE XXE全称XML External Entity Injection，也就是XML外部实体注入攻击，是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE...

下载地址https://download.vulnhub.com/xxe/XXE.zip 实战演练下载完成之后，发现文件夹里面有个Walkthrough.txt   =-=1: access the VM ip on port 80. ------------------...

原创：Mr.zhang合天智汇原创投稿活动：重金悬赏 | 合天原创投稿等你来0x00 前言 现在题目出XXE一般都是考如何获取到XXE所包含文件的数据，即如何把数据泄露出来。常用的方法有：引...

上篇内容我们介绍了XXE的基础概念和审计函数的相关内容，今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法，希望对大家的学习有所帮助！  上期回顾 ◀漏洞经验分...

最近在审计公司的某个项目时(Java方面)，发现了几个有意思的Blind XXE漏洞，我觉得有必要分享给大家，尤其是Java审计新手，了解这些内容可以让你少走一些弯路。Java总体常出现的审...

原创：

导语　　XXE：XML External Entity 即外部实体，从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而...

​易盾业务风控周报每周呈报值得关注的安全技术和事件，包括但不限于内容安全、移动安全、业务安全和网络安全，帮助企业提高警惕，规避这些似小实大、影响业务健康发展的安全风险...

XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时，没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。受影响版本：
JAVA SDK...