xxe方法

原文地址： http://www.christian-schneider.net/GenericXxeDetection.html
自动化工具： https://github.com/Gifts/XXE-OOB-Exploitation-Toolset-for-Automation

发现XXE：
在黑盒渗透测试过程中，通常会遇到REST模式并使用JSON作为数据传输格式，但是许多服务器端框架（例如JAX-RS，基于java的REST服务）都支持XML格式。如果这种格式存在，那么他们可以通过把Content-Type设置为text/xml或application/xml来触发。
所以问题是找到接收XML文件格式的服务端，即使是客户端使用JSON或path-或查询传输来访问服务。
通用技巧：
1. 尝试将GET请求变成POST请求来发送XML作为请求body。不幸的是POST不被接受(web服务只映射了GET)，所以只能使用GET。
2. 从请求URL中将查询参数和路径参数删除。作为一次黑盒测试，我只能假设删除query-param会导致web service接收其他格式的数据。没有使用path-和query-params导致一个错误信息。
3. 即使只能使用GET，我添加了Content-Type: application/xml以及一些错误格式XML作为request body。这时得到一个XML错误信息，显示parser接收了body payload。把path-和query-param添加回去则显示一个业务错误信息，这可能说明这些参数比XML更有优先权。