XXE 漏洞和反序列化漏洞信息泄漏

最新推荐文章于 2025-11-20 18:26:46 发布

原创最新推荐文章于 2025-11-20 18:26:46 发布 · 406 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#XXE #反序列化 #信息泄漏

安全专栏收录该内容

29 篇文章

订阅专栏

博客主要介绍了XXE漏洞的原因，还提及xxe.dtd文件。同时阐述了反序列化漏洞，包括序列化和反序列化的概念及漏洞所在之处，指出这些漏洞会导致敏感信息泄漏，如订单页面修改、验证码本地设计漏洞等情况。

XXE 漏洞原因
在这里插入图片描述

XXE发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意的外部文件，造成文件读取、命令执行、内网扫描、等

在这里插入图片描述

xxe.dtd

反序列化漏洞

在这里插入图片描述

序列化：

反序列化：

漏洞处：

在这里插入图片描述

<?php phpinfo() ?> 写入

在这里插入图片描述

敏感信息泄漏

订单页面修改/验证码本地【设计漏洞】

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Bulldozer++

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

【漏洞复现】用友U8 Cloud XChangeServlet XXE漏洞复现

m0_71944965的博客

12-30

433

用友U8 cloud /servicelXChangeServlet接口存在XXE漏洞，未授权的攻击者可通过此漏洞获取数据库敏感信息，从而盗取服务器数据造成服务器信息泄露。

【漏洞复现】泛微E-Cology WorkflowServiceXml SQL注入漏洞

失心少年

07-22

1104

泛微E-Cology 是一款协同管理平台，旨在为中大型组织创建全新的高效协同办公环境。包含流程、门户、知识、人事、沟通、客户、项目、财务等 20多个功能模块。该系统WorkflowServiceXml接口处未对用户输入进行有效过滤，直接将其拼接进了SQL语句中，导致SQL注入漏洞，会导致数据泄露。技术文章仅供参考，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、荣誉和利益，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。

参与评论您还未登录，请先登录后发表或查看评论

XXE、反序列化漏洞简述

ZY95001的博客

09-19

1431

一、二、三、四、五、

fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞；星巴克被发现存在信息泄露风险...

weixin_39774491的博客

11-30

374

漏洞预警Fastjson再次爆出通杀的反序列化代码执行漏洞漏洞信息据态势感知平台监测，网络上再次出现此前未曾发现的fastjson反序列化攻击向量。Fastjson是由阿里巴巴推出基于Java语言的高性能json操作库，由于速度快、支持功能丰富，颇受开发者的喜爱，在国内应用极为广泛。但近年来由于反序列化漏洞的威力被从业人员逐渐认可，越来越多的攻击者开始挖掘基础组件的反序列化漏洞。影响版本...

【XML外部实体注入】XXE漏洞分析——pikachu靶场复现_pikachu xxe

最新发布

2301_79455190的博客

11-20

653

本文只是对xxe漏洞基础学习所做的笔记，简单通过pikachu靶场了解xxe漏洞的原理以及各种利用方法和思路，并未更加深入去剖析，感兴趣可以结合多个靶场和工具去实战。

反序列化漏洞&slor XXE漏洞

Feng_Blue_的博客

10-28

400

本文仅提供于学术探讨，如有后果自行承担。 typecho反序列化漏洞Getshell复现 1.搭建漏洞环境在搭建环境时，需要在数据库中建立于上图数据库名一样的库。 2.安装成功显示上图则安装成功。 3. 这里需要一个payload，（这个会挂在文章下面，自行参考）。在kali上去跑一下。 4.在某狐浏览器使用hackbar来进行操作在url后需要追加一个?finish=，利用Post传参之前，需要加上一个__typecho_config=，再在后面加上在ka...

XXE/RCE/序列化反序列化

hk41666的博客

07-17

1884

这几个学得都有点蒙，学得不是很认真，学不下去感觉。不知道学了些什么，也可能是自己身体原因。挺痛苦的。

SDUTsec-writeup：源码泄露+反序列化

等风来

10-12

948

SDUTsec-writeup：源码泄露+反序列化 1.源码泄露题目链接：源码泄露打开链接之后整个页面只有一句话： Flag_is_there 右键查看源代码啥也没有，试一下有没有备份文件，访问： http://139.199.31.116:9003/index.php.bak 显示404，不行那换下一个： http://139.199.31.116:9003/index.php.swp 这...

第85天：CTF夺旗-JAVA考点反编译&XXE&反序列化1

08-03

在网络安全领域，尤其是CTF（Capture The Flag）竞赛中，Java技术经常成为关键考点，涉及到的知识点包括但不限于反编译、XXE（XML External Entity）攻击、反序列化漏洞以及文件安全。这些知识点是黑客攻防战中的...

14、Web与Python安全漏洞解析与利用

nept的博客

08-03

本博客深入解析了PHP反序列化漏洞与Python安全问题，涵盖了XML文件攻击、Phar反序列化、反序列化技巧（如__wakeup失败、字符逃逸等）、Python沙箱逃逸、格式化字符串漏洞等内容，并结合多个实际案例，如Guzzle任意文件写入漏洞和Joomla反序列化漏洞，详细展示了各类漏洞的利用方式与防御措施。同时，博客还对比了PHP反序列化与Python安全问题的利用流程，并提出了全面的安全建议和防御策略，旨在帮助开发者和安全研究人员更好地识别、利用和防御相关安全风险。

PHP常用框架及漏洞

小小猪的博客

08-14

3564

PHP常用框架及漏洞 PHP框架 laraval介绍： Laravel基于MVC架构，可以满足诸如事件处理、用户身份验证等各种需求，同时通过包管理实现模块化和可扩展的代码，并且对数据库管理有着健壮的支持。漏洞： 1. Laravel 配置文件泄露 2. Laravel <= 8.4.2 存在远程代码执行漏洞 3. Laravel 存在SQL注入漏洞 4. Laravel 反序列化漏洞 CakePHP 介绍： ...

【Web安全】从xxe到phar反序列化

HBohan的博客

10-12

469

**重要：**在 PHP 里面解析 xml 用的是 libxml，当 libxml 的版本大于 2.9.0 的时候默认是禁止解析 xml 外部实体内容的。以下代码存在 xxe 漏洞。 xml.php： <?php class Test{ public $cmd; public function __destruct() { eval($this->cmd); } } $xmlfile = @file_get_contents("php://in.

java代码审计之反序列化（敏感信息泄露）

糖小喵

05-07

5060

前言在 Java 环境中，允许处于不同受信域的组件进行数据通信，从而出现跨受信边界的数据传输。不要序列化未加密的敏感数据；不要允许序列化绕过安全管理器。 public class GPSLocation implements Serializable { private double x; // sensitive field private double y; // sensitive...

java 反序列化漏洞解决

weixin_34403693的博客

05-23

369

为什么80%的码农都做不了架构师？>>> ...

JAVA反序列化漏洞解决办法

weixin_30426957的博客

02-18

344

一、漏洞描述: 近期，反序列化任意代码执行漏洞持续发酵，越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台，存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞， WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Common...

xxe漏洞

jinhezhai的博客

02-16

2810

title: xxe漏洞 date: 2021-05-25 10:37:23 xxe漏洞概述 XXE(XML External Entity Injection) 全称为 XML 外部实体注入，从安全角度理解成XML External Entity attack 外部实体注入攻击。基础知识拓展 xml 简介可扩展标记语言，标准通用标记语言的子集，简称XML。是一种用于标记电子文件使其具有结构性的标记语言。在解析外部实体的过程中，XML解析器可以根据URL中指定的方案（协议）.

网络安全筑基篇——反序列化漏洞

weixin_55762309的博客

06-27

1811

反序列化漏洞原理详解

java反序列化漏洞解决建议_浅谈Java反序列化漏洞原理（案例未完善后续补充）...

weixin_32160507的博客

02-24

388

序列化与反序列化 序列化用途：方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流，利于储存和传输的格式反序列化与序列化相反，将流转换为对象例如：json序列化、XML序列化、二进制序列化、SOAP序列化序列化：java.io.ObjectOutputStream 类中的 writeObject()该方法把对象序列化，将字节序列写到一个目标输出流中(.ser扩展名)反序列化：j...

java反序列化漏洞对策

邢立军的技术专栏

06-01

906

1）java反序列化漏洞请百度。 2）对策： ObjectInputStream.readObject()的地方改为附件中的 SerialKiller.readObject()。附件有2个文件： SerialKiller.conf为配置文件，可以指定白名单，仅仅对白名单中的类反序列化 SerialKiller.java为ObjectInputStream的子类，覆盖了resol...

XXE 漏洞 和 反序列化漏洞 信息泄漏

XXE 漏洞和反序列化漏洞信息泄漏