[Attack][PHP] eXternal Entity XML (XXE)

Вводная: скрипт PHP принимает параметр в виде XML методом POST и возвращает значение переменной name

Задача: Получить доступ к файловой системе.

Решение: Определить какое из полей возвращает скрипт. Отправить POST-запрос:

https://habr.com/ru/company/vds/blog/454614/
https://depthsecurity.com/blog/exploitation-xml-external-entity-xxe-injection

      

Добавить комментарий

Ваш адрес email не будет опубликован.