Approccio per testare l'iniezione XXE

4

Ho discusso di xxe injection nella mia applicazione web, la mia applicazione web consente l'espansione di entità XML fornite dall'utente

Che cosa ho fatto:

Traffico intercettato utilizzando Burp.

Modificata la richiesta con Accept: text/xml

Inietti l'XML nel cookie e controlla la risposta.

Come risultato dell'espansione XML, la risposta inclusa con xml qualunque sia stata iniettata

Altre cose che ho provato:

Ho provato con xxeinjector nel terminale e ho ricevuto la risposta dal server, che mi aiuterà a confermare che esiste un'espansione XML

Per rendere la dimostrazione del concetto, come posso illustrare l'attacco XXE sulla mia applicazione web?

Il comportamento sopra riportato è corretto? Il mio approccio verso l'iniezione XXE è giusto?

Se è sbagliato, ti prego gentilmente di guidarmi come eseguire i controlli XEE.

    
posta BlueBerry - Vignesh4303 12.01.2016 - 12:03
fonte

0 risposte

Leggi altre domande sui tag