EP4 | XML External Entities (XXE) Processing แฝงคำสั่งเรียกทรัพยากรณ์มากับ XML

ก่อนจะไปรู้จักช่องโหว่ XML External Entities Processing ผมจะพาไปรู้จักกับ XML อย่างคร่าวๆ กันก่อน 

XML ย่อมาจาก Extensible Markup Language เป็นการ encode (แปลงรหัส) เอกสารให้อยู่ในรูปแบบ ที่สามารถอ่านได้ทั้งคนแล้วก็เครื่อง 

รูปแบบของ XML จะคล้ายๆกับภาษา HTML ที่ใช้แท็ก <> และปิดด้วย </> ดังตัวอย่างนี้