xmli_1.phpsuperhero 그룹의 사용자로 로그인하는 기능을 제공한다.superhero 그룹의 사용자 계정정보는 XML 데이터베이스에 저장된다.난이도 하작은따옴표( ' ) 를 입력해 XML/XPath 인젝션이 가능한지를 파악한다.위와 같이 오류가 뜨는데 'XPath' 관련오류 인듯하다.해당페이지는 로그인페이지로 login과 password가 and 연산자로 호출한다고 추측 및 가정할 수 있다.그러다면 항상 참인 결과를 가지고 오기 위한 쿼리는 다음과 같다.' or 1=1 or 'and 연산자가 있다고 가정하면 다음과 같은 쿼리 일것이다.login= 'login 폼' or =1=1 or ' ' and password= &..........
원문링크 : XML/Xpath Injection - Login Form
네이버 블로그
티스토리
커뮤니티