web渗透--24--XML注入攻击

1、漏洞描述:

可扩展标记语言(Extensible Markup Language, XML),用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML是标准通用标记语言(SGML)的子集,非常适合Web传输。XML提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。

XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。

2、检测条件:

被测网站使用可扩展标记语言。

3、检测方法

假设有一个Web应用程序利用XML方式的通信来实现用户注册。用户注册通过在xmlDB文件中创建,并添加新的节点的完成。

假设xmlDB文件如下所示:

 
<users>
    <user>
        

你可能感兴趣的:(web渗透)