[Web Hacking] WebGoat XXE 문제풀이

문제를 보면 XXE Injection을 통해 Filesystem의 root directory를 리스팅하라고 한다.

 

<!DOCTYPE> 태그를 이용해서 EXTERNAL ENTITY를 만들어 LFI(Local File Inclusion) Attack이 가능하다.

프록시를 이용해 Request를 조작하여 요청하면 root directory의 내용들이 출력되는 것을 확인할 수 있다.