XXE Attack Menggunakan Android

Hallo sobat blogger, kali ini saya akan buat artikel seputar XXE attack atau serang XML External Entity, teknik serangan ini adalah melakukan injeksi atau input pada kode program web berbasis XML. Serangan ini terjadi ketika input XML yang berisi referensi ke entitas eksternal diproses oleh parser XML yang dikonfigurasi dengan lemah. Serangan ini dapat menyebabkan pengungkapan data rahasia, penolakan layanan, pemalsuan permintaan sisi server, pemindaian port dari perspektif mesin tempat parser berada, dan dampak sistem lainnya.

Pada praktik kali ini saya menggunakan web CTF.komodsec.com untuk bahan melakukan serangan XXE disini saya menggunakan payload seperti di bawah.

<?xml version="1.0" ?>

<!DOCTYPE nopernik [

<!ENTITY lame-xxe SYSTEM "php://filter/convert.base64-encode/resource=/var/www/html/">]>

<books><book>&lame-xxe;</book></books>

Diatas adalah source payload yang akan di gunakan untuk melakukan serangan XXE dan jika berhasil maka kita akan menemukan flag yang ada pada challeng 3 yaitu serangan XXE.

Pada praktik serangan XXE di android kalo ini saya menggunakan tools F12 yang dapat di download di play store.

Dibawah ini adalah screenshot gambar dari serangan XXE yang di inputkan ke source menggunakan tools F12.

 Untuk lengkapnya bisa lihat video di bawah yang saya upload.

Sekian dari artikel ini yang membahas serangan XXE, Terima Kasih telah berkunjung salam dari saya semoga dapat bermanfaat bagi kita semua.

Share this :