技術 Day27 - 這是我最後的漏洞了！收下吧！ - XXE

第 27 天主要是介紹 CVE-2022-28219 應用 OWASP Top 10 A4 XXE 的攻擊原理。所謂的 XXE 的攻擊手法又被稱為 XML...

技術 [Day 21] 來玩WebGoat！之9：XXE Injection 3

今天是XXE課程第4步的練習，今天的練習跟昨天的有點類似，只是今天的挑戰要特別說明現代人愛用的REST架構可能會遇到的XXE Injection風險。 表現層...

技術 [Day 20] 來玩WebGoat！之8：XXE Injection 2

今天來解看看挑戰題吧，首先是第3步的題目，題目希望我們可以用XXE的方式列出root目錄下的資料夾。首先先在留言欄輸入test試試看，利用ZAP來攔截訊息，發現...

技術 [Day 19] 來玩WebGoat！之7：XXE Injection

今天要來介紹的是XML External Entity (XXE) injection漏洞，這個漏洞其實跟之前介紹的SQL Injeciton有那麼一點點的相似...