XXE注射试验方法
XXE注射试验方法
提问于 2016-01-12 11:03:24
我一直在讨论我的web应用程序中的xxe注入,我的web应用程序允许扩展用户提供的XML实体。
我所做的:
使用Burp截获的通信量。
用Accept: text/xml更改请求
在cookie中插入XML并检查响应。
作为XML扩展的结果,无论我注入什么,响应都包含在xml中。
我尝试过的其他事情:
我尝试在终端中使用X喷射器喷射器,并从服务器获得响应,这将帮助我确认存在XML扩展。
为了证明概念,我如何说明我的web应用程序上的XXE攻击?
上述行为正确吗?我的注射方法对吗?
如果是错误的,请指导我如何执行XEE检查。
回答 1
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/110351
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号