摘要：以BWAPP为例，测试XXE漏洞，用DNSLOG作回显。 一、选择XXE漏洞测试，抓包，点击【anybugs？】。 二、获取域名 三、直接上payload 四、查看DNSLOG回显 如有错误，请及时指正！ 阅读全文

摘要：由于内容比较简单，我直接贴图，怕我自己忘了。 测试Fastjson版本号：1.2.15 直接发送用burpsuite发送payload，将dataSourceName改成dnslog获取到的域名。 payload： { "a":{ "@type":"java.lang.Class", "val":" 阅读全文