有没有 XXE 检测工具呢?

2019-03-05 12:40:06 +08:00
 babyrjw

由于微信支付的 XXE 漏洞未及时修复,TX 关了我的微信支付 API 接口。修复后花了无数精力,终于联系上 TX 的人工客服,表示我的漏洞还没我有修复。 但是微信支付后台-》安全医生 检测没有发现异常。快要被折腾死了,有没有 XXE 漏洞的检测工具呢? TX 这个烂东西,能不能坚决不用

1460 次点击
所在节点    问与答
3 条回复
WordTian
2019-03-05 12:53:20 +08:00
XXE 有两种
一种是有回显的,那种好检测,也比较容易写出工具,去 gayhub 上找找吧

一种是没回显的,需要一台外网主机配合检测。因为执行的命令本身无回显,一般是执行访问外网主机的命令,然后能过访问记录判断命令是否成功执行,这种工具不好写,应该没有这种工具
babyrjw
2019-03-05 13:04:17 +08:00
@WordTian 多谢指教,我找找看有没有无回显的这种 payload
javashell
2019-03-05 13:10:21 +08:00
无回显的可用 burp collaborator client 测试

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/541269

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX