Аннотация:Для обнаружения уязвимостей в публичных сервисах, которые обрабатывают сложные форматы данных, необходимо исследовать реакцию сервиса (т. е. логику обработки) на специально подобранные данные методом черного ящика. В данной работе на примере формата электронных книг ePub рассмотрены характерные уязвимости, связанные с обработкой сложных форматов данных на серверной стороне веб-приложений. В результате выявлены серьёзные уязвимости в крупных и популярных веб-приложениях, таких как IDPF Validator, MagicScroll, а также в приложениях iBooks и iTunes Producer. Данные результаты можно распространить на другие популярные XML-форматы документов. Предложенный в работе подход может быть использован в стандартных методиках тестирования на проникновение веб-приложений методом черного ящика.