由于微信支付的 XXE 漏洞未及时修复,TX 关了我的微信支付 API 接口。修复后花了无数精力,终于联系上 TX 的人工客服,表示我的漏洞还没我有修复。 但是微信支付后台-》安全医生 检测没有发现异常。快要被折腾死了,有没有 XXE 漏洞的检测工具呢? TX 这个烂东西,能不能坚决不用
This topic created in 2650 days ago, the information mentioned may be changed or developed.
 |
1
WordTian Mar 5, 2019 via Android
XXE 有两种
一种是有回显的,那种好检测,也比较容易写出工具,去 gayhub 上找找吧 一种是没回显的,需要一台外网主机配合检测。因为执行的命令本身无回显,一般是执行访问外网主机的命令,然后能过访问记录判断命令是否成功执行,这种工具不好写,应该没有这种工具 |
 |
3
javashell Mar 5, 2019 via Android
无回显的可用 burp collaborator client 测试
|
Select Language