绿盟科技CERT监测到Apache Struts存在外部实体(XXE)注入漏洞S2-069（CVE-2025-68493），攻击者可利用该漏洞读取敏感文件或进行拒绝服务攻击。受影响版本包括2.0.0至2.3.37和2.5.0至2.5.33，建议用户尽快升级至6.1.1及以上版本以防护。官方已发布修复版本，用户也可采取临时措施禁用外部实体。

本文探讨了Java、PHP和.NET环境中的XXE漏洞利用技巧，涵盖不同协议的支持与限制，重点介绍了如何通过特定协议读取文件、执行命令及绕过安全防护。同时分析了不同JDK版本对安全性的影响，提醒在实际应用中需谨慎使用相关技术。

本文介绍了通过IP地址进行信息收集的方法，包括开放端口扫描和利用XXE漏洞进行攻击。使用nmap和masscan工具检测目标主机的开放端口，并提供了Python进行特权提升的示例代码。

本文介绍了对IP地址10.10.10.78的端口扫描和服务识别，发现开放了FTP、SSH和HTTP服务。通过FTP匿名登录和SSH连接，进行了特权提升和凭证窃取。文章强调网络安全技术的合法使用，并提醒读者谨慎操作。

本文讨论了XML外部实体（XXE）攻击的原理及防御措施，包括敏感文件泄露、服务端请求伪造（SSRF）、盲注XXE和远程代码执行（RCE）。防御策略包括禁用特定协议、过滤输入和监控日志，强调多层防护的重要性，尤其是针对非显式XXE入口点的安全策略。

XXE（XML外部实体注入）是一种安全漏洞，攻击者通过注入恶意外部实体来获取敏感数据或执行远程代码。防御措施包括禁用外部实体、输入过滤和协议限制，同时结合监控和渗透测试以确保安全。

本文是关于JavaMeldoy 组件漏洞分析学习，将围绕XXE漏洞进行分析学习。

本文介绍XML基础概念，XXE攻击原理和防御措施，以及IoT自定义安全规则集的应用。

Apache Ivy是一个管理基于ANT项目依赖关系的开源工具。在Apache Ivy 2.5.2之前的版本中存在XXE漏洞，攻击者可以利用该漏洞获取目标主机上Apache Ivy有权访问的任意文件。修复方案是升级org.apache.ivy:ivy到2.5.2或更高版本，并将javax.xml.accessExternalDTD设置为空字符串以禁止外部实体引用的访问。

本文主要是对其中有关于XXE中的两点sink进行几点分析。

作者：腾讯安全玄武实验室 tomato, salt 0x00 背景Ghidra是 NSA 发布的一款反汇编工具,它的发布引起了安全研究人员的极大兴趣。有研究人员发现Ghidra在加载工程时会存在XXE，基于笔者之前对XXE漏洞利用研究发现，攻击者可以利用Java中的特性以及Windows操作系统中NTLM认证协议的缺陷的组合来完成RCE。