摘要: 前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符 阅读全文
posted @ 2019-07-16 12:11 yourse1f 阅读(1198) 评论(0) 推荐(0) 编辑
摘要: PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web开发框架thinkPHP;Web应用程序Discuz!、DedeCMS、PHPcms、帝国cms等都曾经存在过该类型高危漏洞。 0x2.1 实验1:不安全的功能实现方式 这里这个和DVWA的远程命令执行差不多 我们看看源码 阅读全文
posted @ 2019-07-16 11:33 yourse1f 阅读(729) 评论(0) 推荐(0) 编辑