ペイロードを使用すると、アプリケーションはターゲット マシン上のファイルを読み取ることができます。
アプリケーションにはログ機能があり、ログを表示できました。
エラーにもかかわらず、挿入された XML エンティティは引き続き処理され、サーバーのバックエンドで HTTP リクエストが実行されました。
DTD ファイル内のペイロードにより、「エラー、file:///nonexistent/ (C:/)LISTING にファイルが存在しません」がトリガーされます。
この手法は、.dtd ファイルの読み取りにも使用できます。
コメント