Enfoque para probar la inyección XXE

4

He estado discutiendo la inyección xxe en mi aplicación web, Mi aplicación web permite la expansión de las entidades XML proporcionadas por el usuario

Lo que hice:

Tráfico interceptado utilizando Burp.

Se modificó la solicitud con Accept: text/xml

Inyecte el XML en la cookie y verifique la respuesta.

Como resultado de la expansión XML, la respuesta incluida con xml lo que sea que haya inyectado

Otras cosas que probé:

Probé con xxeinjector en el terminal y obtuve la respuesta del servidor, lo que me ayudará a confirmar que hay una expansión XML

Para hacer una prueba de concepto, ¿cómo puedo ilustrar el ataque XXE en mi aplicación web?

¿Es correcto el comportamiento anterior? ¿Mi enfoque hacia la inyección XXE es correcto?

Si está mal, guíame amablemente cómo realizar las comprobaciones de XEE.

    
pregunta BlueBerry - Vignesh4303 12.01.2016 - 12:03
fuente

0 respuestas

Lea otras preguntas en las etiquetas