Spoglądając na request poniżej może wydawać się, że jest on mało interesujący (pod kątem możliwych przy jego pomocy przeprowadzenia scenariuszy ataków). W rzeczywistości jest zupełnie odwrotnie. Jest to request zawierający security assertion markup language. Inaczej mówiąc jest to – ustandyryzowany xml, podpisany i ubrany w base64. Otwierając taki request przy… Continue reading →
Podatność XML External Entity (XXE) polega na tym, że podczas parsowania struktury dokumentu XML zwanej Document Type Definition (DTD) dopuszczone jest definiowanie własnych encji XML-owych. W zależności od silnika przetwarzającego XML-a po stronie serwerowej i konfiguracji środowiska możliwe jest różnorakie wykorzystanie tego typu podatności. Począwszy od listowania katalogów na systemie,… Continue reading →
XXEinjector to narzędzie automatyzujące proces exploitacji błędu bezpieczeństwa polegającego na możliwości wstrzykiwania zewnętrznych encji w plikach xml ( XML eXternal Entity ). Umożliwia on między innymi pobieranie i uploadowanie plików metodą bezpośrednią i za pomocą serwera pośredniczącego, enumerowanie plików i katalogów czy też enumerowanie nie filtrowanych portów. Tool do pobrania… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Subskrypcja
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
