XML | 安全脉搏

Web安全

xxe原理解析

一：XML格式123456789101112131415161718<?xml version="1.0" encoding="utf-8"?> &…

第59号实验室 2023-05-08 15:41:55

16,769 0 3
工具

逆向分析010 editor

逆向分析010 editor0x01 什么是010 editor010 Editor 是一款专业的文本编辑器和十六进制编辑器，旨在快速轻松地编辑计算机上任何文件的内容。该软件可以编辑文本文件，包括 U…

TideSec 2022-11-25 11:45:30

11,307 0 6
Web安全

web类 | XXE漏洞总结

XML外部实体注入简称XXE漏洞：XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。1. XML基础知识XML文档结构包括…

贝塔安全实验室 2022-10-17 15:50:25

15,974 0 0
脉搏文库

Advanced Windows TaskScheduler Playbook–Part Ⅰ | 高级攻防07

本文约7000字，阅读约需13分钟。这个系列是关于Windows计划任务中一些更为本质化的使用，初步估计大概四章。相比于工具文档或技术文章，我更倾向于将这几篇文章作为传统安全研究的思维笔记，一方面阐述…

酒仙桥六号部队 2022-06-28 16:12:33

8,812 0 32
代码审计

对XML外部实体引用的不当限制

01 什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体，这些URI可以解析为超出预期控制范围的文档，从而导致产品将不正确的文档嵌入其输出中。XML文档可以选择…

中科天齐软件安全 2022-02-24 17:47:23

21,916 0 1
代码审计

对XML外部实体引用的不当限制漏洞

一、什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体，这些URI可以解析为超出预期控制范围的文档，从而导致产品将不正确的文档嵌入其输出中。XML文档可以选择包…

中科天齐软件安全 2021-11-30 18:23:32

12,056 0 2
工具

protobuf协议逆向解析

前言在app抓包的过程中，我们会发现有些app的数据也是存在加密的，抓到的数据是一堆乱码。无法来解析数据。常见的对于数据的加密方式有三种：第一种是利用常见加密算法，诸如AES等算法，对响应数据进行…

火线安全平台 2021-09-28 13:37:01

12,535 0 105
漏洞

Apache solr任意文件读取漏洞复现(踩坑之路)

前言看见大表哥们都在说这个Apache Solr文件读取漏洞，鉴于之前未接触过该中间件，所以想着复现一下Apache solr介绍Apache Solr是一个开源搜索服务引擎，Solr 使用 Java…

Am1azi3ng 2021-03-22 14:23:37

10,693 0 4
漏洞

从一道题目学习XXE漏洞

前言0x01.xxe漏洞XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶…

dingjiacan@antvsion.com 2021-03-02 15:43:55

10,118 0 0
资讯

漏洞情报｜XStream任意文件删除/服务端请求伪造漏洞风险通告（CVE-2020-26259,CVE-2020-26258）

近日，腾讯云安全运营中心监测到，XStream官方发布关于XStream反序列化漏洞的风险通告（漏洞编号：CVE-2020-26259,CVE-2020-26258），如果代码中使用了XStream，…

v_ppeihu@tencent.com 2020-12-14 17:55:08

9,034 0 0
内网渗透

浅谈SVG的两个黑魔法

前言之前在CTF比赛中遇到了一些关于SVG造成的安全问题，多亏诸多师傅的题目给我的一顿痛打让我又了解了不少新的知识和SVG在WEB安全中的应用，拓展了我的攻击面。本文涉及靶场知识点——XXE漏洞分析与…

dingjiacan@antvsion.com 2020-11-26 14:44:15

10,501 0 3
漏洞

漏洞情报｜XStream远程代码执行漏洞风险通告（CVE-2020-26217）

近日，腾讯云安全运营中心监测到，XStream官方发布安全公告，披露了一个XStream远程代码执行漏洞（漏洞编号：CVE-2020-26217），漏洞被利用可导致远程代码执行。为避免您的业务受影响，…

v_ppeihu@tencent.com 2020-11-17 10:54:30

10,341 0 2
漏洞

腾讯QQ升级程序存在漏洞被利用植入后门病毒

【快讯】近日，火绒安全团队根据用户反馈，发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件，攻击者可利用该漏洞下发任意恶意代码。截止到目前，最新版QQ（包括TIM、QQ、QQ轻聊版、QQ国际版等等）都…

mini fox 2019-08-19 15:48:03

10,702 0 3
漏洞

PDF漏洞（CVE-2018-12794）浅析

漏洞简介 CVE-2018-12794属于类型混淆漏洞，产生漏洞原因是通过构建XML数据包（XML Data Package，XDP）模版，并对XML表单体系结构（XML Forms Arc…

四维创智 2019-05-08 17:17:27

11,664 0 3
代码审计

.NET高级代码审计（第七课） NetDataContractSerializer反序列化漏洞

0x00 前言NetDataContractSerializer和DataContractSerializer一样用于序列化和反序列化Windows Communication Foundation …

Ivan1ee 2019-04-12 13:57:07

9,593 0 8

专栏作者

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge！——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会（Gdevops2020）

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31（周五线上）

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼

友情链接

关注我们

SecPluse

合作伙伴

品牌归属

关于我们

安全脉搏（secpulse.com）是以互联网安全为核心的学习、交流、分享平台，集媒体、培训、招聘、社群为一体，全方位服务互联网安全相关的管理，研发和运维人，平台聚集了众多安全从业者及安全爱好者，他们在这里分享知识、招聘人才，与你一起成长。

©2013- 安全脉搏沪ICP备16016474号

沪公网安备 31010402005682号