摘要:
XXE的定义 XXE就是XML外部实体注入,XML中有5种实体,如果网站允许使用外部实体,通过恶意构造内容就有可能实现任意文件读取 、内网探测、命令执行等。 简单了解 XML有一个格式规范是由DTD(文档类型定义)来决定的 如下: <?xml version="1.0"?>//这一行是 XML 文档 阅读全文
摘要:
概述 从上一版的第 6 位开始,90% 的应用程序都经过了某种形式的错误配置测试。随着更多转向高度可配置的软件,看到这一类别上升也就不足为奇了。值得注意的CWE包括CWE-16 Configuration和CWE-611 Improper Restriction of XML External En 阅读全文