XML安全之Web Services

于 2022-04-24 08:08:44 发布
阅读量184 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124374362
版权

0x01 引言

前段时间搞站遇到了TRS的系统里面涉及到了ws(Web Services简称)的相关技术,不久前玩一个xx酒店的时候又通过ws进入了它的数据库,后来接连遇到或看见一些app服务和物联网相关系统中出现XML相关漏洞,于是搜索相关资料做技术积累。如果文中出现错误,望指正。     

0x02 什么是WS

Web Service是基于网络的、分布式的模块化组件,它执行特定的任务,遵守具体的技术规范,这些规范使得Web Service能与其他兼容的组件进行互操作。 Web Services 利用 SOAP 和 XML对这些模型在通讯方面作了进一步的扩展以消除特殊对象模型的障碍。Web Services 主要利用 HTTP 和 SOAP 协议使业务数据在 Web 上传输,SOAP通过 HTTP 调用业务对象执行远程功能调用,Web 用户能够使用 SOAP 和 HTTP通过 Web 调用的方法来调用远程对象的。(来至百度百科)。

简单的说WS就是http + XML,WS平台的元素有:SOAP、UDDI、WSDL。

0x03 xml注入(soap注入)

以下将介绍一些利用场景,漏洞是千变万化的肯定不全,也不是每种环境都适用。

情景1:

漏洞:

1

2

3

4

<code>#!html

<?xml version="1.0" encoding="UTF-8"?>

<USER role="guest">attacker's code</USER>

</code>

poc:

1

2

3

<code>#!html

A</USER><USER role="admin">B

</code>

情景2:

漏洞:

改变了

 

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XML应用之Web Service
qq_37171379的博客
03-15 727
1.什么是web serviceService:服务,在电脑安装一个软件(程序),可以为我们提供某些功能,就可以称之为服务。本地服务比较多。 Web:和本地相对应,在互联网上的。 Web service,通过互联网来提供某种服务。 本质就是通过网络调用其他网站的资源。 Web service vs 本地服务 本地服务的缺陷: 本地资源不足。很多数据和资料,本地得不到,只有向其他网站要。 成本因...
XML Web Service 基础
Gavin.Lv.的专栏
08-16 1133
什么是 XML Web ServiceXML Web Service 是在 Internet 上进行分布式计算的基本构造块。开放的标准以及对用户和应用程序之间的通信和协作的关注产生了这样一种环境,在这种环境下,XML Web Service 成为应用程序集成的平台。应用程序是通过使用多个不同来源的 XML Web Service 构造而成的,这些服务相互协同工作,而不管它们位于何处或者如何实
XML Web Service介绍
fox_lht的专栏
03-08 2243
XML Web Service介绍一个XML Web Service 是一个可编程的实体。他提供特殊功能性的元素。例如:应用逻辑。使用一些普遍存在的internet 标准(xml和http)来访问潜在分开的系统。XML Web Service依靠广泛接受的XML 和其他一些internet 标准来建立支持应用系统互相操作的基础结构。他在某种程度上解决了许多先前阻碍这样尝试的问题。     
XML Web Service概述
萨特的技术专栏
05-07 1057
<br /><br />a)Web Service是通过Web定义、发布和访问的完整模块式应用程序。<br /> b)近年来,人员、信息与流程之间的交互越来越紧密,推动着软件开发方式的相应转变。成功的IT系统更需要一种跨平台的互操作性以及可随时间轻松改进的灵活服务。于是,XML开始流行并占据主导地位,作为可独立于编程语言、软件平台和硬件来表示和传输结构化数据。基于对XML的广泛接受,Web Service成为使用标准传输、编码和协议来交换信息的应用程序。Web Service拥有来自不同供应商和业务的广泛支
xml Web Service
心中天堂的专栏
08-22 1453
xml Web Service 是在 Internet 上进行分布式计算的基本构造块。 开放的标准以及对用户和应用程序之间的通信和协作的关注产生了这样一种环境,在这种环境下,XML Web Service 成为应用程序集成的平台。 应用程序是通过使用多个不同来源的 XML Web Service 构造而成的,这些服务相互协同工作,而不管它们位于何处或者如何实现。 有多少个构建 XML W
Web Services Security安全机制
03-18
本系列将介绍有关Web Services 安全有关的内容,其中涉及技术: XML Signature,XML Encryption和SAML,WS-Security,WS-Trust等等。在本系列的文章中将主要关注其原理,以及个人对相关技术的理解。在MS不断更新的WSE...
WEBSERVICES无刷新聊天室
10-13
WEBSERVICES无刷新聊天室】是一种基于Web服务技术实现的实时通信应用,它允许用户在不刷新整个网页的情况下进行实时的对话交流。这种聊天室的实现主要依赖于Ajax(Asynchronous JavaScript and XML)技术和Web ...
Qt 直接构建XML开发web services客户端
10-24
在本主题中,我们将深入探讨如何使用Qt框架构建一个XML基础的Web服务客户端,特别是针对SOAP(简单对象访问协议)服务。SOAP是一种基于XML的协议,用于交换结构化的和类型化的信息,常用于Web服务交互。 首先,理解...
基于SOAP协议的Web Services安全性研究与实现
05-31
通过对Web Services安全性分析和SOAP消息传输过程的研究,从SOAP消息的安全性和消息传输监控2个方面设计Web Services的安全性方案,并通过WSE3.0实现了该设计方案。该方案有效弥补了SOAP协议本身安全性差的缺点,也提高...
Web Services&XML:什么是Web Service
05-18
Web Service便是基于网络的、分布式的模块化组件,它执行特定的任务,遵守具体的技术规范,这些规范使得Web Service能与其他兼容的组件进行互操作。它可以使用标准的互联网协议,像超文本传输协议HTTP和XML,将功能体现在互联网和企业内部网上。Web Service平台是一套标准,它定义了应用程序如何在Web上实现互操作性。你可以用你喜欢的任何语言(笔者用的是C#),在你喜欢的任何平台上写Web Service
webservice 密码弱口令漏洞病毒御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和御问题。
Xml WebService完全实例解析(一)
热门推荐
wiseman's old life
07-04 2万+
        最近闲来无事,想起blog很久没写新文章了,干脆来写个专题好了,想来想去,干脆写个有关webservice的示例文章吧.        首先,我们必须了解什么是webservice.就概念上来说,可能比较复杂,不过我们可以有个宏观的了解:webservice就是个对外的接口,里面有函数可供外部客户调用(注意:里面同样有客户不可调用的函数).假若我们是服务端,我们写好了个webser
XML Web Service
段传涛 的专栏
12-31 976
对于初识XML Web Service并想快速上手的人,可能希望快速了解它的创建和调用方法。本文将用一个小例子来讲述如何用Visual Studio 2008来创建Web Service以及如何来调用它。例子中的Web Service将根据客户程序的请求来返回一幅图像。   1.       创建Web Service项目   打开VS2008,选择File/New/Project菜单项,
XML Web Services 底层结构
fox_lht的专栏
03-08 1260
XML Web Services 底层结构       为了在不同的Web中使用,XML Web Services 必须对采用的操作系统、对象模块和编程语言是未知的。同时为了使XML Web Services像其他基于Web的技术一样受到广泛的欢迎,它必须是:l         松耦合:系统之间的委托管理被认为是自描述、基于文本的消息才是松耦合。而系统之间使用的大量的自定义的系统开销来通讯
WebServiceXML解析
wudaimian的专栏
03-15 1471
1.SAX解析,是一行一行的把xml文件读到内存,通过是时间通知的方式来解析的,有点比较省内存,适合与移动开发。 package com.hw; import java.io.StringWriter; import java.util.LinkedList; import org.xml.sax.Attributes; import org.xml.sax.SAXException;
XML Web services 基础结构
wfhlxl的专栏
12-23 989
摘至msdn.若要在 Web 的多样性世界里取得成功,在涉及到操作系统、对象模型和编程语言的选择时,XML Web services 不能有任何倾向性。同样,若要使 XML Web services 像其他基于 Web 的技术一样被广泛采用,则它们必须是: 松耦合的:如果对两个系统的唯一要求是要理解前面提到的自我描述的基于文本的消息,那么这两个系统就被认为是松耦合的。另一方面,紧耦合系统要
Visual Studio .NET中的XML Web services入门
10-20 946
<br />Visual Studio .NET中的XML Web services入门<br /><br /> Rob Caron<br /><br /> Visual Studio Team<br /><br /> Microsoft Corporation<br />2002 年 2 月<br />摘要:Microsoft? Visual Studio? .NET 和 XML Web services 提供了一个简单、灵活且基于标准的模型,开发人员无论使用何种平台、编程语言或对象模型均可以编
【分布式】Web Services&XML:什么是Web Service
iteye_1900的博客
05-04 94
[size=medium]本文转自: http://www.blogjava.net/liver/archive/2010/04/27/319497.html 你可能早就听说过Web Service了,你也可能已经对Web Service有了一些概念,现在不管是在什么场合,谈到以后发展的新趋势,大家都会提到Web Service。世界上的顶级公司,不管是微软、IBM还是SUN,都开始把 Web...
HTTPBasic认证在Webservices安全中的应用
"Webservices基础与WS-Security编程,关注于 webservices 的认证机制,特别是 HTTPBasic 认证的使用,适用于中等级别的学习者。" 在Web服务的安全实践中,HTTPBasicAuthentication是一种常见且简单的认证方式,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值