Hatena Blog Tags
はてなブログ トップ
XXE
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

XXE

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

XXE with ChatGPT から学ぶ

ソース: medium.com 脆弱性:XXE 訳: 1. 基本的な XXE まず、ターゲット Web アプリで使用される特定の XML 構造用にカスタマイズされた基本的な XXE ペイロードから始めて。 プロンプト: Provide an example of a safe XXE payload that you can use for testing purposes for a blind XXE PoC that uses <burp collaborator> for the domain for the following .xml file and maintain the s…

#XXE

ネットで話題

もっと見る
80ブックマークPHPプログラマのためのXXE入門この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外...blog.tokumaru.org
34ブックマークXML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with PHP-www.slideshare.net
25ブックマークXXE攻撃 基本編 | 技術者ブログ | 三井物産セキュアディレクション株式会社www.mbsd.jp
17ブックマークXXE、SSRF、安全でないデシリアライゼーション入門www.slideshare.net
14ブックマークScala標準ライブラリのscala.xml.XML.loadStringなどを直接使うとXXE(XML External Entity)という脆弱性になるので気をつけましょう - xuwei-k's blogxuwei-k.hatenablog.com
13ブックマークbn2 on Twitter: "薬害の補償体制も普通に整備されているので何を問題視してるのかいまいちわからない https://t.co/gYsGbM5Xxe https://t.co/wL6R1VzyHL"twitter.com
12ブックマークZend Framework の XXE 脆弱性対策 (ZF2014-01) と zendframework/ZendXml のススメ - co3k.orgもはや PHP まったく書いてないのに PHP 関係のエントリばかりが増えていくというのは奇妙なものですね。 さて、今年の 2 月に Zend Framework より公開された以下のアドバイザリについては皆様すでにチェック済みのことでしょう。 ZF2014-01: Potential XXE/XEE attacks using PHP functions: simplexml_load_*, DOMDoc...co3k.org
11ブックマーク属性値のXXE攻撃 - teracc’s blogblog.ts5.me
7ブックマークMort de Pierre Boulez, symbole d’un XXe siècle musical avant-gardistewww.lemonde.fr

関連ブログ

The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

XML External Entity injection with error-based data exfiltration から学ぶ

ソース: infosecwriteups.com 脆弱性:XXE 訳: XXEとは何ですか? XML 外部エンティティ (XXE) は、XML 入力を処理するアプリケーションで発生するセキュリティの脆弱性で。 XXE 攻撃では、攻撃者がアプリケーションの XML パーサーを悪用して外部エンティティを組み込むことができ、これにより、ローカル ファイルの読み取り、サーバー リクエストの開始、サーバー上での任意のコードの実行など、さまざまな悪意のあるアクションが引き起こされる可能性があって。 このタイプの脆弱性は対処しないと重大な結果を招く可能性があり、サイバーセキュリティの分野で重大な懸念事項とな…

#XXE
The light of hope to the other side of the tunnel - Kotsu Kotsu To -1年前

XXE in Public Transport Ticketing Mobile APP から学ぶ

ソース: medium.com 脆弱性:XXE 訳: この発見は、別の非公開のバグ報奨金プログラムでした。 ターゲットの範囲は、チケット発行 Android アプリ (製品) でした。 このアプリは、ドイツを拠点とする大手公共交通機関のチケット販売アプリでした。 次の画面では、個人データを変更する必要があります データを保存しているときに、次のリクエストがサーバーに送信されていることがわかりました。 リクエストの形式は次のようなものでした 062.6.26#{some long data}。次に、{長いデータ} を選択してデコーダに送信しました。 デコードしてみたところ、base64であること…

#XXE
The light of hope to the other side of the tunnel - Kotsu Kotsu To -2年前

ソース: medium.com 脆弱性:XXE 訳: 1.XXE まず「XXE」とは何でしょうか? XXE (XML 外部エンティティ インジェクション) は、XML 外部エンティティインジェクションの略で。 名前が示すように、これは何を注入するインジェクション脆弱性ですか?XML 外部エンティティを。 2. イントロ XML XML は広く使用されているマークアップ言語で、1990 年代後半に初めて標準化され、数え切れないほどのソフトウェア プロジェクトで採用されてきました。 構成ファイル、ドキュメント形式 (OOXML、ODF、PDF、RSS など)、画像形式 (SVG、EXIF ヘッダー…

#XXE
The light of hope to the other side of the tunnel - Kotsu Kotsu To -2年前

Exploiting Out-of-Band XXE in the Wild から学ぶ

ソース: medium.com 脆弱性:XXE 訳: フェーズ 1 → 偵察: 私は shodan が好きで、そこから redacted.com というターゲットに関連する IP のリストを収集しIP を列挙するので。 その後、rustscan (naabu などお好みのものを使用できます) で完全なポート スキャンを実行し、HTTP プローブを作成して、8443、8080、8888、9180、9000 などの異常なポートのチェックを開始して。 そして確かにすべてのリクエストを Bupr Suite に渡しましたが、 9180オープンポートを持つIPに遭遇しました、この IP はいくつかを使用…

#XXE