XLST远程代码执行漏洞

这是另一个跟XML相关的漏洞,XLST是XML的样式表(类似CSS)

原理跟XXE类似,利用脚本语言对xslt的解析支持,通过xslt的高级特性执行任意代码。

不同的是XXE想要执行任意命令,是需要一定条件的。而XLST的命令执行,只需要使用了有问题XLST文件解析库,都会有任意命令执行的问题。......

XML外部实体(XXE)处理漏洞

XML外部实体(XXE)处理漏洞

漏洞类型

漏洞影响

往外部发送数据

SSRF(Server Side Request Forgery)

窃取敏感数据 (extracting sensitive data) --> 读取本地文件

远程代码执行 (remote code ......