xxe方法

原文地址: http://www.christian-schneider.net/GenericXxeDetection.html
自动化工具: https://github.com/Gifts/XXE-OOB-Exploitation-Toolset-for-Automation

发现XXE:
在黑盒渗透测试过程中,通常会遇到REST模式并使用JSON作为数据传输格式,但是许多服务器端框架(例如JAX-RS,基于java的REST服务)都支持XML格式。如果这种格式存在,那么他们可以通过把Content-Type设置为text/xml或application/xml来触发。
所以问题是找到接收XML文件格式的服务端,即使是客户端使用JSON或path-或查询传输来访问服务。
通用技巧:
1. 尝试将GET请求变成POST请求来发送XML作为请求body。不幸的是POST不被接受(web服务只映射了GET),所以只能使用GET。
2. 从请求URL中将查询参数和路径参数删除。作为一次黑盒测试,我只能假设删除query-param会导致web service接收其他格式的数据。没有使用path-和query-params导致一个错误信息。
3. 即使只能使用GET,我添加了Content-Type: application/xml以及一些错误格式XML作为request body。这时得到一个XML错误信息,显示parser接收了body payload。把path-和query-param添加回去则显示一个业务错误信息,这可能说明这些参数比XML更有优先权。

你可能感兴趣的:(方法)