03 2023 档案
XML&XXE利用检测绕过
摘要:概念:XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用
PHP&JAVA反序列化
摘要:PHP反序列化: 原理:序列化就是将对象转为字符串。反序列化与之相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象 技术:有类(触发魔术方法);无类 利用点:真实应用下;各种ctf比赛中 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致
