XXE攻击

如果应用程序允许用户执行上传文件或者提交POST请求的操作,很可能受到XXE攻击。虽然说每天都有大量该漏洞被检测到,但Gardien Virtuel在去年的几次Web应用程序渗透测试中就已经能够利用该漏洞。
前段时间,Ambionics团队遇到了一个非常经典的Grails案例,这是一个基于Groovy的MVC框架。这个案例中包含一个插件,用于从Groovy模板生成PDF,并且简单地命名为PDF Plugin。
Bing Chrome下载广告推广Adware/PUP安装程序;新型macOS后门程序浮出水面,被指与黑客组织“海莲花”有关联;CVE-2018-1308:通过Apache Solr的DIH的dataConfig请求参数进行XXE攻击。