He estado discutiendo la inyección xxe en mi aplicación web, Mi aplicación web permite la expansión de las entidades XML proporcionadas por el usuario
Lo que hice:
Tráfico interceptado utilizando Burp.
Se modificó la solicitud con Accept: text/xml
Inyecte el XML en la cookie y verifique la respuesta.
Como resultado de la expansión XML, la respuesta incluida con xml lo que sea que haya inyectado
Otras cosas que probé:
Probé con xxeinjector en el terminal y obtuve la respuesta del servidor, lo que me ayudará a confirmar que hay una expansión XML
Para hacer una prueba de concepto, ¿cómo puedo ilustrar el ataque XXE en mi aplicación web?
¿Es correcto el comportamiento anterior? ¿Mi enfoque hacia la inyección XXE es correcto?
Si está mal, guíame amablemente cómo realizar las comprobaciones de XEE.