漏洞挖掘:绕过WAF的OOB-XXE
# 绕过WAF的OOB-XXE漏洞挖掘技术详解
## 1. 漏洞背景与发现过程
作者在目标应用程序中发现了一个XML实体注入(XXE)漏洞,但该应用受到WAF(Web应用防火墙)的严格保护,阻止了所有对外请求(包括DNS查询)。通过创造性思维和深入分析,作者成功实现了带外(OOB)数据外泄。
## 2. 关键发现与技术要点
### 2.1 初始发现
- 发现一个接收加密XML参数的端点
- 前端加密,后端可能缺乏充分验证
- 通过Chrome DevTools断点调试绕过前端加密
##
2025-08-26 01:30:47
0