该文被密码保护。 阅读全文
摘要:
0x01. 通用业务逻辑漏洞模块 通用业务逻辑漏洞模块,是各行业共性的业务逻辑安全风险点,在每次的测试过程中也是最常见到的模块,也是测试的重点对象,所以网上介绍此类逻辑漏洞的文章很多,在这里再做下简单的思路点总结: 1.注册模块 •恶意用户批量注册。 •用户登录账号、id、昵称身份覆盖。 2.登录认 阅读全文
摘要:
0x01. 漏洞原理 XXE(XML外部实体注入,XML External Entity) :在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、执行系统命令等。 核心是我们输入的代码,会被当做xml的代码执行 0x02.相关概念 DTD 阅读全文