摘要:
一、概述 1.1何为命令执行 攻击者通过web应用可以执行系统命令,从而获得敏感信息,进而控制服务器攻击内网。 1.2产生条件 1.应用调用执行命令的函数 2.将用户输入作为系统命令的参数拼接到命令中 3.没有对用户输入的过滤或者过滤不严格 1.2常见命令 1.2.1 Windows dir 列出目 阅读全文
摘要:
一、概述 1.1什么是XXE? XXE(XML External Entity Injection),即XML外部实体化注入漏洞,XML 文件在引用外部实体时候没有对进行过滤或者没有禁止外部实体的加载,导致攻击者可以构造恶意内容或加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、 阅读全文