##系统边界 系统边界:一个系统所包含的所有系统成分与系统以外事物的分界线。 系统:被开发的计算机软硬件自身 系统成分:在OOA/OOD中定义的那些系统元素 系统外部实体:人员、设备、外系统 ##参与者 参与者:定义了一组在功能上密切相关的角色,当一个事物与系统交互时,该事物可以扮演这样的角色。 参 ...
分类:
其他好文 时间:
2020-05-31 19:46:44
阅读次数:
222
1.概括 用例图用来描述软件功能的一种图形,包括用例,参与者,及其关系 用例图的作用是: 展现软件功能 展现软件使用者和软件之间的关系 展现软件功能相互之间的关系 用例图的要素: 参与者:与用例存在交互关系的系统外部实体 用例:描述一个相对独立的软件功能 关系:参与者与用例的关系,参与者相互之间的关 ...
分类:
其他好文 时间:
2020-05-21 10:04:25
阅读次数:
66
最近在审计某银行的Java代码时,发现许多上传Excel文件的接口,允许后缀是xslx文件,xslx文件是由xml文件组成的,可以改成.zip的文件后缀名进行解压,所以如果如果没有禁用外部实体,会存在XXE漏洞。下面的测试使用Java语言进行blind xxe测试。 1、测试环境 解析Excel文件 ...
分类:
其他好文 时间:
2020-05-04 13:07:15
阅读次数:
150
XXE 概述 XXE也叫做XML外部实体注入[XML External Entity] , 当XML允许引用外部实体并解析时,会导致攻击者构造恶意实体的payloadj进行攻注入攻击,导致攻击者可以读取任意文件、执行命令、攻击网站、以及进行SSRF攻击等 XML基础 XML声明: 内部DTD声明: ...
分类:
其他好文 时间:
2020-05-03 18:12:44
阅读次数:
57
本文内容: XXE XML 特别注意:simplexml_load_string的函数,在php中只要有此函数,就可能造成xxe。 1,XXE: 1.什么是xxe: xxe就是xml外部实体注入。 2.xxe核心: 原理: 攻击者使用关键字SYSTEM,强制xml解析去去访问攻击者指定的资源内容[可 ...
分类:
其他好文 时间:
2020-04-22 09:41:06
阅读次数:
62
一、XXE 是什么 XXE(XML External Entity Injection),即xml外部实体注入,由于程序在解析输入的数据过程中,解析了攻击者伪造的外部实体造成的攻击。 二、什么是xml: XML文件格式是纯文本格式,在许多方面类似于HTML,XML由XML元素组成,每个XML元素包括 ...
分类:
其他好文 时间:
2020-04-11 20:14:52
阅读次数:
83
1、XXE 1.1 XXE概述 (1)xml格式 (2)DTD:文档类型定义,用来为xml文档定义语义约束 (3)外部实体引用payload: (4)simplexml_load_string(): 函数转换形式良好的xml字符串为simplexmlElement对象 在php里边解析xml用lib ...
分类:
其他好文 时间:
2020-03-30 15:56:46
阅读次数:
94
1、test.xml 测试一下是否能解析xml 2、是否支持引用外部实体 在服务器 查看日志发现访问请求 3、读取本地任意文件 先写一个具有漏洞的测试页面 然后访问该页面,并附带一个payload 这里我使用浏览器插件post发送payload死活是服务器500。。。用burpsuite抓包发送才成 ...
分类:
其他好文 时间:
2020-03-21 14:51:09
阅读次数:
65
XXE -"xml external entity injection"既"xml外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部 ...
分类:
其他好文 时间:
2020-02-24 00:50:07
阅读次数:
205
本文介绍了一个菜鸡对xxe的一步步学习(内容多来源于大佬的博客,先感谢一波) 涉及知识点: (1)xxe 目录: 解析: 1.xxe是什么(不详解了,网上很多的) XXE(XML External Entity Injection) 全称为 XML 外部实体注入。(重点在外部实体) 2.xml基础知 ...
分类:
其他好文 时间:
2020-02-20 13:01:35
阅读次数:
68
