漏洞成因:XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理。影响:常见的XML解析方法有:DOMDocument、SimpleXML、XMLReader,这三者..
分类:
其他好文 时间:
2015-09-10 19:38:52
阅读次数:
258
转自腾讯安全应急响应中心一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建....
分类:
其他好文 时间:
2015-05-24 18:46:59
阅读次数:
159
0x00 前言XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进?行处理时引发的安全问题.在XML1.0标准?里,XML文档结构?里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,...
分类:
其他好文 时间:
2015-01-27 01:50:36
阅读次数:
343
其实STRIDE威胁建模很简单(只有外部实体、处理过程、存储、数据流四个元素),难的是通过什么预防措施消除这些元素所面临的威胁,今天我们专门来谈谈外部实体(即下图中的Client)外部实体一般面临仿冒(Spoofing)和抵赖(Repudiation)两种威胁。1、仿冒:【概念】:所谓仿..
分类:
其他好文 时间:
2015-01-21 06:42:12
阅读次数:
766
虚拟机tomcat外部实体主机无法访问问题本地虚拟机启动后虚拟机内可以打开tomcat界面。返回到里头却无法访问。解决方案:1. 禁用防火墙(永久): chkconfig iptables off2. 停止防火墙(重启就会失效):service iptables stop在防火墙开启的情况下在ipt...
分类:
其他好文 时间:
2014-11-21 01:17:40
阅读次数:
355
软考经过两个多月的复习,终于于上周完美收官。虽然考试结束了,但对知识的学习不会停止。现总结一下下午题--数据流图。
一、题目信息
◆题目位置:第一题
◆重要程度:★★★★★
◆主要考试内容:
○补充外部实体
○找出...
分类:
其他好文 时间:
2014-11-15 21:52:20
阅读次数:
345
本文谈一下STRIDE数据流图的四个元素:外部实体、处理过程、存储、数据流为了描述方便,以下图为例进行说明,该数据流图是“斗医”系统解析业务配置规则的一个功能,即客户端启动系统时会通过PwmLauncher调用到PwmBusinessUtil从XML文件中读取规则,然后把规则转换为PwmBusines..
分类:
其他好文 时间:
2014-11-11 02:05:13
阅读次数:
348
一,数据流图的元素
二,分层的数据流图
具体过程:
1,画系统的输入输出
把整个软件系统看作一个大的加工,确定与外部实体之间的输入和输出数据流,这个结果成为顶层图;
2,画系统的内部:
将顶层图中的加工分解成若干个加工,并用数据流连接这些加工.这张图称为0层图.而从一个加工画出一张数据流图
的过程就是对该加工的分解过程....
分类:
其他好文 时间:
2014-10-08 11:26:45
阅读次数:
274
上海51sap是专业的SAP培训中心,提供专业的SAP FI CO培训,SAP FI培训,SAP CO培训以及其他实施模块学习.FI模块即外部会计,关注的是按照一定的会计准则,组织账务,并出具满足财税等外部实体及人员要求的法定财务报表,通常比较标准。 FI模块(财务会计模块) FI(Fina...
分类:
其他好文 时间:
2014-08-06 18:52:14
阅读次数:
191
实体可以简单的理解为引用数据项的方法,可以是普通的文本也可以是二进制数据。 实体可以分为通用实体和参数实体。通用实体用于XML当中,用于引用文本或者二进制数据,而参数实体只能在DTD中使用。通用实体与参数实体可以是内部实 体或者是外部实体。实体还可以分为未解析与解析的实体,不同在于解析实体是规范的X...
分类:
其他好文 时间:
2014-08-06 17:25:11
阅读次数:
391
