注入篇——XML注入

最新推荐文章于 2024-05-12 08:17:29 发布
最新推荐文章于 2024-05-12 08:17:29 发布
阅读量894 收藏
点赞数
原文链接:https://blog.csdn.net/Fly_hps/article/details/79431218
版权

XML

XML是The Extensible Markup  Language(可扩展标识语言)的简写。XML最初设计的目的是弥补HTML的不足,后来逐渐用于网络数据的转换和描述。XML的设计宗旨是传输数据,而非显示数据。

目前,XML在WEB中的应用已经非常广泛。下面举一个简单的XML实例:


  
  
  1. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <?xml version=
      
      "1.0" encoding=
      
      "utf-8">
     
     
    
    
    
  2. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  3. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <manager>
     
     
    
    
    
  4. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  5. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
          <admin id=
      
      "1">
     
     
    
    
    
  6. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  7. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              <name>admin</name>
     
     
    
    
    
  8. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  9. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
              <password>admin</password>
     
     
    
    
    
  10. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  11. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <admin>
     
     
    
    
    
  12. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  13. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
           <admin id=
      
      2>
     
     
    
    
    
  14. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  15. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
          <name>root</name>
     
     
    
    
    
  16. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  17. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
         <password>root</password>
     
     
    
    
    
  18. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  19. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </admin>
     
     
    
    
    
  20. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
     
     
    
    
    
  21. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </manager>
     
     
    
    
    
  22.

XML注入

XML与HTML一样,也存在注入攻击,甚至在注入的方法上也非常相似。

对于上面的xml文件,如果攻击者能够掌控password字段,那么就会产生XML注入,如攻击者输入:

admin </password></admin><admin id="100"><name>hack</name><password>hacker</password></admin>

最终的修改后的XML为:


  
  
  1. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <?xml version=
      
      "1.0" encoding=
      
      "utf-8">
     
     
    
    
    
  2. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <manager>
     
     
    
    
    
  3. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
     
      
      <admin id="1">
     
     
    
    
    
  4. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
         
      
      <name>admin
      
      </name>
     
     
    
    
    
  5. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
         
      
      <password>admin
      
      </password>
     
     
    
    
    
  6. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </admin>
     
     
    
    
    
  7. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      <admin id="100">
     
     
    
    
    
  8. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
         
      
      <name>hack
      
      </name>
     
     
    
    
    
  9. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
         
      
      <password>hacker
      
      </password>
     
     
    
    
    
  10. 
    
    
    
     
     
    
    
    
    
    
    
    
     
     
    
      
      </admin>

以上的代码相当于添加了一个名为hack、密码为:hacker的新的用户到管理员组内!

XML注入时的两大注意点:

(1)标签闭合(关键所在

(2)获取XML的表结构

XML注入的前提条件

(1)用户能够控制数据的输入

(2)程序有拼凑的数据

XML注入防御

(1)对用户的输入进行过滤

(2)对用户的输入进行转义

预定义字符转以后的预定义字符
<&lt;
>&gt;
&&amp;
'&apos;
"&quot;
注明:部分内存参考《WEB安全深度剖析》
bylfsj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计——XML 外部实体注入(XXE)
m0_61506558的博客
11-27 1078
XXE 为 XML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
注入技巧收集.txt
07-18
内容将围绕“注入技巧收集”中的一个特定技术——SA点数据库分离技术进行深入探讨,并结合给出的部分内容详细阐述其原理、应用场景以及防范措施。 #### SA点数据库分离技术概述 SA(System Administrator)...
Spring基础——XML配置Bean的依赖注入
NoBugNoLife的博客
03-05 1064
Spring基于XML的依赖注入详解。
深入浅出带你了解XML实体注入
dzqxwzoe的博客
05-12 1030
Xml外部实体注入漏洞(XML External Entity Injection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以构造加载恶意外部文件,进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法,有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
注入——Xpath注入
bylfsj的博客
09-23 3067
1 Xpath注入攻击概述1.1 Xpath定义    近年来在现代化电子商务,...
注入——HTML注入
bylfsj的博客
09-23 6459
描述超文本标记语言(HTML)注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个漏洞是独立的,不同于注入 Javasc...
26. 注入——HTML注入
Fly_鹏程万里
03-03 9270
描述超文本标记语言(HTML)注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个漏洞是独立的,不同于注入 Javascript,VBscript 等。由于 HTML 是用于定义网页结构的语言,如果攻击者可以注...
29. 注入——Xpath注入
Fly_鹏程万里
03-03 2069
1 Xpath注入攻击概述1.1 Xpath定义    近年来在现代化电子商务,商场现代化系统中,XML技术被广泛 的使用,开始出现针对XML数据信息的XPath注入攻击技术。 注入攻击是指利用系统没有对其输入进行强制执行或检查的假设向计算机系统中引入(或 “注入”)代码的技术。注入代码的目的通常是绕过或修改程序的最初目标功能,如果被绕过的功能涉及系统安全,那么结果可能是灾难性的。在XML信息被大...
SQL注入——WAf绕过
爱国小白帽
02-11 1665
WAF是什么? Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。也叫Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入XML注入、XSS等。 Waf分类 代码WAF 软件WAF 硬件WAF 云WAF Sql注入绕waf常用方式 大小写混合 uNIoN sELecT 1,2,3,4 2...
Spring——Bean管理-xml方式进行属性注入
一起加油吧~
03-04 2076
Spring中bean管理使用xml方式进行属性注入的7种方式
XXE攻防——XML外部实体注入
LVXIANGAN的专栏
07-04 3198
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。    DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD&lt;!DOCTYPE...
模板注入与_FLASK.pdf
08-08
模板注入相较于其他注入,例如xss、sql注入xml注入等攻击,其本质思想是一致的,服务器端接受了用户的输入,未做验证或过滤便作为模板内容的一部分,在进行模板渲染时候,发生了代码执行。目前有很多模板引擎,都...
预防XSS攻击和SQL注入XssFilter
07-23
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
python爬取网站url脚本——JSFinder.zip
12-31
此外,处理反爬机制(如验证码、User-Agent限制等)和数据解析(如JSON、XML等)也是Python爬虫开发者必须掌握的技能。 总的来说,JSFinder是Python爬虫技术在渗透测试中的一个具体应用,通过爬取JavaScript文件来...
pillow-10.4.0-pp39-pypy39_pp73-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
avif-0.5.0-cp35-cp35m-macosx_10_9_x86_64.whl
最新发布
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
pillow-10.4.0-cp39-cp39-musllinux_1_2_x86_64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
sql注入教程:报错注入与二阶攻击策略
自学笔记详细探讨了SQL注入中的一个重要技术手段——报错注入。报错注入利用的是Web应用程序中未关闭或过滤错误处理功能的情况,攻击者通过构造恶意SQL语句,迫使服务器在执行时返回错误信息,从而间接获取敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值