xxe

  1. R

    Конкурс Все также про XXE. Развиваемся вместе. Часть третья.

    И снова здравствуйте, уважаемые жители мегаполиса. В прошлый раз мы остановились на том, что я вплотную подобрался к тому, чтобы начать читать интересующие меня логи, но вернемся немного назад. Как же я все-таки нашел то, что привело к компрометации этого сервера. Конечно же, RCE получить я не...
  2. R

    Статья Как я провел свою первую external entity attack или XXE уязвимость. История вторая.

    Как я провел свою первую external entity attack или XXE уязвимость. Часть первая. Как сейчас помню, была середина июля. Это был очередной проект, который начался пару недель назад. Было уже проделано много различных сканирований и попыток проникнуть внутрь периметра, но пока это сделать не...
  3. R

    Проблема XXE инъекция

    Всем здравствуйте, проблема в следующем, была найдена уязвимость в тестируемом приложении XXE вообщем то все хорошо, с помощью нее можно прочитать например файл etc/passwd но интресной информации он не содержит, интересен файл etc/zabbix/zabbix_agent.conf ну и некоторые другие, но проблема в том...
  4. SooLFaa

    Статья XXE

    И снова всем привет. А сегодня будет разговор об XXE – атаках, что это, почему, зачем, а главное посмотрим нагрузки и пример в .Net приложениях. Идея уязвимости в том, что мы используем внешние сущности при парсинге xml файлов, рассмотрим сразу пример. Создадим файл index.php у себя на...