Keepb1ue的博客

XXE介绍 XXE即外部实体，从安全角度理解为XML外部实体注入攻击 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 文档类型定义（DTD）可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。 DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用。 内部DTD声明: <!DOCTYPE 根元素 [元素声明]> 实

接上一篇内容 IIS6.0解析漏洞（一） 我们现在要讲的第一个是IIS6.0的解析问题： iis6.0除了将ASP后缀当成ASP进行解析的同时，当文件后缀名字为.asa .cer .cdx也会当做asp去解析，而严格意思上讲这可以说是iis6的一些特性，只是iis6默认的一些默认配置，文件后缀名字为.asa .cer .cdx之所以也会当做asp去解析，是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx都会调用asp.dll。 当然，如果我们在iis6.0应用程序扩展配置中添加..

在这里插入图片描述

文件上传漏洞： 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，部分文件上传漏洞的利用技术门槛非常的低，对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞，WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下WebShell以方便后续进入系...