Дополнительные главы практической безопасности (2021)/Задания по XXE: различия между версиями

Первый флаг можно найти в приложении http://xxe-indirect.tasks.course.secsem.ru/, он в файле /opt/src/flag. В этом приложении нет флагов кроме этого обязательного. Также, флаги стоит поискать в приложении http://xxe-oob.tasks.course.secsem.ru/ и в этом интернет-магазине. В последнем 2 обязательных флага, для их получения стоит попробовать использовать error-based эксплуатацию XXE. Кроме того, для эксплуатации в последних двух сервисах может помочь такая особенность XML-парсера Java как выдача листинга директории при чтении её как файла.