XXE注入漏洞研究 黑客技术

XXE注入漏洞研究

XXE Injection几年来一直在OWASP Top 10列表中,并且经常出现在Synack Red Team(SRT)的提交中。XXE注入不限于Web应用程序;任何有XML解析器(网站,主机,软...
Google Cloud Blog HTML注入漏洞 黑客技术

Google Cloud Blog HTML注入漏洞

关于Google Cloud Blog 顾名思义,Google Cloud Blog是谷歌用来展示谷歌云平台(GCP)的新特性和相关公告的,这是一种非常酷的云计算服务。在某一天,我被授权对这个平台进行...
Django JSONField HStoreField SQL注入漏洞 黑客新闻

Django JSONField HStoreField SQL注入漏洞

一、前言 Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即...
Atlassian JIRA模板注入漏洞 黑客新闻

Atlassian JIRA模板注入漏洞

一、前言 JIRA是Atlassian公司出品的项目与事务跟踪工具,是目前比较流行的基于JAVA架构的管理系统。被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领...
Laravel 5.8 SQL注入漏洞详解 黑客技术

Laravel 5.8 SQL注入漏洞详解

0x01 背景 最近研究Laravel框架的代码审计,因为3月份爆出过一个ignore函数的一个漏洞,网上找了些文章,看了下, 自己搭建环境测试,一直没有成功, 自己就详细的审计了一遍 0x02 la...
XML实体注入实例演示教程 黑客技术

XML实体注入实例演示教程

无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体 环境:WIN7 X64 & Wi...