Outils pour utilisateurs
web:xxe
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Prochaine révision | Révision précédente | ||
|
web:xxe [2017/01/20 13:09] arkinar créée |
web:xxe [2017/01/20 13:14] arkinar |
||
|---|---|---|---|
| Ligne 3: | Ligne 3: | ||
| **1.Présentation** | **1.Présentation** | ||
| - | XML External Entity est une attaque contre les applications qui parse des entrées XML (exemple flux RSS). Cette attaque à lieu lorsque le parser XML est mal configuré et contient une référence à une entité externe. La XXE permet d'afficher des données confidentiels , effectués des denis de services, etc... | + | XML External Entity est une attaque contre les applications qui parse des entrées XML (exemple flux RSS). Cette attaque à lieu lorsque le parser XML est mal configuré et contient une référence à une entité externe. La XXE permet d'afficher des données confidentielles , effectués des dénis de services, etc... |
| Ce qu'il faut savoir : | Ce qu'il faut savoir : | ||
| Ligne 35: | Ligne 35: | ||
| ?> | ?> | ||
| </file> | </file> | ||
| - | Ici on affiche uniquement le contenu des balises nom ,prenom et age. | + | Ici on affiche uniquement le contenu des balises nom, prenom et age. |
| Il attendra des fichiers XML au format suivant : | Il attendra des fichiers XML au format suivant : | ||
| Ligne 47: | Ligne 47: | ||
| </auteur> | </auteur> | ||
| </file> | </file> | ||
| - | + | {{ :web:xxe_parser.png?nolink |}} | |
| Pour la partie exploitation technique | Pour la partie exploitation technique | ||
| Ligne 94: | Ligne 93: | ||
| Si tout c'est bien passer vous obtiendrez ceci | Si tout c'est bien passer vous obtiendrez ceci | ||
| - | image xxe_python | + | {{ :web:xxe_python.png?nolink |}} |
| __2.3 Méthode 3 : Exfiltré des données par requête HTTP__ | __2.3 Méthode 3 : Exfiltré des données par requête HTTP__ | ||
| Ligne 129: | Ligne 128: | ||
| </file> | </file> | ||
| - | image xxe_python2 | + | {{ :web:xxe_python2.png?nolink |}} |
| Ligne 135: | Ligne 134: | ||
| [[https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing | Owasp ]] | [[https://www.owasp.org/index.php/XML_External_Entity_%28XXE%29_Processing | Owasp ]] | ||
| + | |||
| [[http://prox-ia.blogspot.fr/2014/12/une-faille-xxl-lattaque-xxe.html | Prox-ia]] | [[http://prox-ia.blogspot.fr/2014/12/une-faille-xxl-lattaque-xxe.html | Prox-ia]] | ||
| + | |||
| [[https://gist.github.com/staaldraad/01415b990939494879b4 | Payload XXE]] | [[https://gist.github.com/staaldraad/01415b990939494879b4 | Payload XXE]] | ||
web/xxe.txt · Dernière modification: 2017/01/20 13:14 par arkinar
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
