记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

XXE被提起时我们会想到什么

0x00 XXE(XML实体注入漏洞)顾名思义,漏洞的关键点在于服务器对外部实体的解析。外部实体中可以请求他域资源,所以很多人在漏洞利用时会习惯的把XXE问题转换成SSRF的问题。前几天别人问我一个有趣的问题:Blind XXE和普通XXE本质区别是什么。 仔细想了想觉得难以回答,由于类似于cloudeye的使用DNS泛析和URL请求记录是可以查看命令执行结果的,大家通常不会在意漏洞点程序是否预设了回显或者可以使用报错得到回显。所以找了一些资料,记录一下上面问题的答案和也顺便记录一下XXE漏洞形成的原因。 0x01 首先要搞清楚的是XML外部实体的概念。一般容易误以为外部是自己定义的意思,事实上外部实体是指实体的参数内容不是当前XML定义的而是从其他资源引入的,用SYSTEM和PUBLIC来申明,也就是我们常
发布时间:2016-08-25 15:15 | 阅读:121353 | 评论:0 | 标签:Web安全 Blind XXE CloudEye DNS泛析 sqli ssrf URL请求 XML XML实体注入漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云