这是一个创建于 2075 天前的主题,其中的信息可能已经有所发展或是发生改变。
由于微信支付的 XXE 漏洞未及时修复,TX 关了我的微信支付 API 接口。修复后花了无数精力,终于联系上 TX 的人工客服,表示我的漏洞还没我有修复。 但是微信支付后台-》安全医生 检测没有发现异常。快要被折腾死了,有没有 XXE 漏洞的检测工具呢? TX 这个烂东西,能不能坚决不用
 |
1
WordTian 2019-03-05 12:53:20 +08:00 via Android
XXE 有两种
一种是有回显的,那种好检测,也比较容易写出工具,去 gayhub 上找找吧 一种是没回显的,需要一台外网主机配合检测。因为执行的命令本身无回显,一般是执行访问外网主机的命令,然后能过访问记录判断命令是否成功执行,这种工具不好写,应该没有这种工具 |
 |
3
javashell 2019-03-05 13:10:21 +08:00 via Android
无回显的可用 burp collaborator client 测试
|
Select Language