XML INJECTION

Hola a todos!, en esta ocasión os presento otra nueva inyección llamada XML Injection o XML Tag Injection.

Para introducirnos en el mundo XML realizaremos una breve introducción para aquellos que desconozcan esta lenguaje de estructura de datos “Extensible Markup Language”.
Hay muchos campos que aprovechan XML, estos incluyen PDF, RSS, OOXML, SVG y también protocolos de redes como pueden ser XMLRPC, SOAP, WEBDAV etc..
Este lenguaje es muy parecido al HTML pero con una implementación mucho más ligera.

EL Document Type Definition (DTD) define la utilización correcta de los bloques en un documento XML. Estos bloques son los siguientes:
*Elementos *Etiquetas *Atributos *Entidades *PCDATA *CDATA

Una cosa muy importante al proceder con los ataques XML, es que el DTD lo podemos definir tanto externamente como internamente, eso quiere decir que tenemos la opción de importar externamente el DTD si internamente no es posible y asi bypassear según que tipo de protecciones.
Después de esta breve introducción os dejo los primeros ejemplos, espero que sean de vuestro agrado 😀

XML INJECTION (TAG INJECTION)

Host Header Injection -HHI-

Seguimos nuestra guerra con el hacking web!. En este post explicamos los tres métodos más comunes para la explotación del Host Header Injection (HHI) y posteriormente adjuntamos un video de prueba de concepto.

Aquí os dejo el enlace a la página, espero que os guste 😀

Host Header Injection -HHI-

SALUDOS

 

 

WEBDAV -Apache DAV-

Nueva entrada en Hacking Web Technologies, en la sección de PROOF OF CONCEPTS. En esta ocasión vulneramos un servidor WEBDAV concretamente el Apache DAV y logramos el acceso remoto a la computadora :D.

Aquí tenéis la guía de explotación: APACHE DAV -PWNED-

SALUDOS!