Как использовать XML-инъекцию?

[Zakodowany]

Привет!
Как в теме, как пользоваться этим люком?
обнаружен с помощью (Burp Suite)

Другой вопрос, может быть, у вас есть книги о том, как использовать уязвимости на сайте?

 

[shadowoftheghost]

книги? с книгами далеко не уйдёшь. если нашёл сканером уязвимость, то либо думай, как её использовать, либо хотя бы погугли
первый результат гугла по теме со вполне себе авторитетного источника (консорциум по безопасности веб приложений): http://projects.webappsec.org/w/page/13247004/XML Injection
(на английский жаловаться не надо, без него все равно далеко не уедешь)
если коротко: то смотри как приложение обрабатывает XML и можно ли заставить его действовать не по стандарту)

 

[REDKIY_RAK]

Ну если ты имеешь ввиду XXE, то скорее всего ты нашел поле в которое можно вписать инъекцию. Попробуй через !DOCTYPE вписать туда просто слово, без всяких SYSTEM. Если на твой запрос он вернёт тебе то слово которое ты передал, то попробуй SYSTEM или PUBLIC передавать, если не отработает, то скорее всего заблочены эти вызовы.

 

[sereganochnoi]

Не советую искать именно книги, книги могут покрыть основы и фундамент. И они наверняка не покроют все небольшие детали, относящиеся к эксплуатации. Справочники могут покрыть часть, но их сложно читать.
Можно пробежаться по всем известным методам эксплуатации, просто введя в гугл запрос. И, как писали выше, смотреть на авторитетные источники. Когда я занимался веб приложениями, я первое время читал OWASP.

 

[Panam 87]

Привет!
Как в теме, как пользоваться этим люком?
обнаружен с помощью (Burp Suite)

Другой вопрос, может быть, у вас есть книги о том, как использовать уязвимости на сайте?

(EN) What you're looking for is a XXE attack. I suggest you have a look at this article : https://www.synack.com/blog/a-deep-dive-into-xxe-injection/
(RU) То, что вы ищете, - это атака XXE. Предлагаю вам ознакомиться с этой статьей. Простите за английский. https://www.synack.com/blog/a-deep-dive-into-xxe-injection/