A04 - XXE (version sécurisée) - INF48 Sécurité des applications

✅ Correction : Le même document est analysé sans LIBXML_NOENT ni LIBXML_DTDLOAD (comportement par défaut de PHP 8) : l'entité externe n'est pas résolue et le contenu de secret.txt ne peut pas fuiter. ← Retour au TP

Essayez le même payload que sur la version vulnérable : l'entité &xxe; reste affichée telle quelle, le contenu de secret.txt n'est jamais lu.