发布日期:2013-09-27

更新日期:2013-10-04

受影响系统:

Invensys Wonderware InTouch 2012 R2 (10.6)

描述:

--------------------------------------------------------------------------------

Invensys Wonderware InTouch是Invensys Wonderware创建的HMI,用于设计、构建、部署、维护生产和基础架构操作的应用。

Invensys Wonderware InTouch 2012 R2 (10.6)在解析XML实体时出错,远程攻击者通过包含外部实体引用的特制XML文件,利用此漏洞可导致泄漏某些本地文件内容或造成拒绝服务。

链接:http://secunia.com/advisories/54923/

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

Invensys Wonderware

-------------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Linux能运行intouch,Invensys Wonderware InTouch XML 外部实体漏洞相关推荐

  1. 【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)

    前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...

  2. Web Hacking 101 中文版 十四、XML 外部实体注入(一)

    十四.XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程 ...

  3. XML外部实体注入漏洞——XXE简单分析

    前言: XXE漏洞经常出现在CTF中,一直也没有系统的学习过,今天就来总结一波. 文章目录 一.XXE 漏洞是什么: 二.XML基础知识: 1.XML是什么? 2.XML文档结构: DTD声明方式: ...

  4. Pikachu-XXE(xml外部实体注入漏洞)

    XXE -"xml external entity injection" 既"xml外部实体注入漏洞". 概括一下就是"攻击者通过向服务器注入指定的x ...

  5. XXE(xml外部实体攻击)

    1.概念 XXE(XML External Entity)是指xml外部实体攻击漏洞.XML外部实体攻击是针对解析XML输入的应用程序的一种攻击.当包含对外部实体的引用的XML输入被弱配置XML解析器 ...

  6. Xml外部实体注入漏洞(XXE)与防护

    转自腾讯安全应急响应中心 一.XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据.定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言.XML文档结构包括XML声 ...

  7. XXE(XML外部实体注入)详解

    1. XXE漏洞描述 XXE(XML External Entity Injection)又称为"XML外部实体注入漏洞". 当允许引用外部实体时,通过构造恶意内容,就可能导致任意 ...

  8. PHP环境 XML外部实体注入漏洞

    PHP环境 XML外部实体注入漏洞 环境介绍 漏洞原理 漏洞复现 修补方案和建议 环境介绍 libxml 2.8.0 libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡.为了演示P ...

  9. XML外部实体注入(XEE)的原理和应用

    文章目录 XXE注入 一.XML简介 二.XML实体 三.CTF中XEE攻击 XXE注入 XXE注入全称是xml external entity 注入,也就是xml外部实体注入.XXE漏洞发生在应用程 ...

  10. 【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611 :Improper Restriction of XML External Entity Reference)

    关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...

最新文章

  1. 一个请求从 URL 字符串到 HTML 代码的“漫长曲折”之路
  2. 2021 年 ICT 行业预测
  3. python 列表生成器 获取文件列表
  4. java配置接口提供给vue,vue在js中配置全局API接口
  5. bgl 词典_器材屋 篇五十二:“哪里不会点哪里”的后时代——哪里不识扫哪里:科大讯飞扫描词典笔评测_点读机...
  6. Java Web Start入门基础教程
  7. matlab偶极矩电场强度分布图_物理-电磁学|第三讲|静电场中的电介质
  8. 标准化条件变量 -- condition_variable
  9. 如何在运行时确定对象类型(RTTI)
  10. python slice类型_复合类型Slice python中的list
  11. 怎么跟踪php代码,第九节 PHP 跟踪调试代码 XDebug
  12. Lucene.Net 初学笔记 - 索引
  13. python抓取疫情数据_python 爬取疫情数据
  14. 机器视觉常用算法C语言实现
  15. 鸿蒙音响怎么调,好音质是调出来的 大师教你咋调试音响
  16. jTopo 功能完善
  17. 使用Phoenix连接HBASE,squirrel使用,代码连接使用Phoenix
  18. fit into用法
  19. html 通过name选择器,用name方式获得选择器总结
  20. Java岗大厂面试百日冲刺【Day46】— Linux2 (日积月累,每日三题)

热门文章

  1. 单链表的实现 (C语言版 数据结构 严蔚敏)
  2. 详细User-Agent大全
  3. 千牛机器人回复词库_千牛机器人自动回复语大全
  4. xp安装python3.4_32位XP系统 Python3.4.4安装scrapy1.6.0
  5. Tcpip详解卷一第3章(2)
  6. 浅谈python爬取数字书苑图书
  7. 智能优化算法——遗传算法(C语言实现)
  8. 网易云爬取歌词进行歌词词云可视化
  9. 音频文件--PCM、 WAV、 MP3及AMR格式分析
  10. 《CSS权威指南(第3版)》要点摘记