前幾天有人成功利用 XML External Entity 安全問題,取得 Google 伺服器內的資料:「How we got read access on Google’s production servers」。
可以看到上圖是 /etc/passwd
的內容...
XML Parser 預設有太多功能是根本不會想要用到的,沒有注意到而忘記關掉就會中獎...
幹壞事是進步最大的原動力
前幾天有人成功利用 XML External Entity 安全問題,取得 Google 伺服器內的資料:「How we got read access on Google’s production servers」。
可以看到上圖是 /etc/passwd
的內容...
XML Parser 預設有太多功能是根本不會想要用到的,沒有注意到而忘記關掉就會中獎...