应用安全系列之七:XML注入

已于 2023-04-24 11:34:44 修改
阅读量498 收藏 1
点赞数
分类专栏: Security 文章标签: 安全 xml java
于 2021-02-28 18:42:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/114104248
版权

本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。

关于XML的定义和详细信息,可以到百度百科上去(可扩展标记语言_百度百科)了解一下,这里不做详细介绍。

XML是设计的一种用户传输数据的格式,还是举用户登录的例子来说明,一个用户登录的包括用户名、密码和角色(这里只是用于说明XML注入问题,一般登录请求都不会有角色的信息),登录的数据格式如下:

<USER>
	<name>user1</name>
	<password>Test@123</password>
	<role>Normal</role>
</USER>

如果用户的password输入的内容为:Test@123</password><role>Admin</role><password>,直接使用组装XML的结果为:

<USER>
	<name>user1</name>
	<password>Test@123</password><role>Admin</role><password></password>
	<role>Normal</role>
</USER>

就可以注入额外的节点,如果这些额外的节点又可以被正确解析,而且,值也是合法的,就可以篡改XML的数据结构。

这里可以看到XML注入的主要原因和HTML注入的原因很像,处理方法也一样,对特殊字符进行HTML编码即可,特殊字符以及编码之后的值如下:

攻击类型危险字符编码方法编码之后的值
XML注入 ' HTML编码&apos;
"HTML编码&quot;
>HTML编码&gt;
<HTML编码&lt;

在提供的XML的一些API中,在添加一些节点时,有些API没有对特殊字符进行处理的,所以,在调用这些API之前,必须对输入的内容进行编码处理之后,才能安全,否则,就会导致XML注入,篡改XML的数据结构。

如果有不妥之处,希望可以留言指出。谢谢!

jimmyleeee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML注入学习
xujunhui222的博客
02-10 6649
一、什么是XML注入 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 简单来说xml就是用来存储数据的。 二、XML的特点 XML仅仅是纯文本,他不会做任何事情。 XML可以自己发明标签(允许定义自己的标签和文档结构) 三、XML的定义 首先是XML声明,然后是DTD
xml文件通过WSDL工具生成WebService服务类
you346662108的博客
10-25 690
就是通过WSDL工具生成,而且通过WSDL生成,就只有一个.cs 文件,便于管理,更简洁。
手把手教你使用 Spring IOC 容器完成注入操作(xml注入 + 注解注入
最新发布
2401_83916394的博客
04-21 786
M —— modal 模型层(实体类)V —— views 视图层 (界面)C —— controller 控制层 (用来完执行一些操作)这三层架构各自分工,独自完成相对应的功能,但是这样的程序写出来会导致程序之间耦合性过高。
WebService 之 WSDL文件 讲解
梦想的追求
06-24 4772
WSDL (Web Services Description Language,Web服务描述语言)是一种XML Application,他将Web服务描述定义为一组服务访问点,客户端可以通过这些服务访问点对包含面向文档信息或面向过程调用的服务进行访问(类似远程过程调用)。WSDL首先对访问的操作和访问时使用的请求/响应消息进行抽象描述,然后将其绑定到具体的传输协议和消息格式上以最终定义具体部署的
2、基于XML的依赖注入详细配置
余笙的博客
12-09 1323
依赖注入详细配置
浅谈“XML注入
→_→
05-09 3734
漏洞名称: XML注入 描述: 可扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集,非常适合 Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。发现目前一些普遍使用xml的场景中都存在一种古老的XML实体注入漏洞,这可能导致较为严重的安全问题,使得攻击者可能可
xml_sql:xml_sql
04-11
7. **安全性**:在使用Rust进行XML和SQL操作时,特别要注意SQL注入安全问题。使用参数化的SQL查询可以防止这类攻击,确保数据安全。 8. **性能优化**:Rust的内存管理和类型系统使得在处理大量XML数据和频繁的SQL...
xml-security:用于XML安全性的SimpleSAMLphp库
03-15
为了确保XML数据的安全,开发者需要了解并应用系列安全机制,这就是“XML安全性”的核心所在。 ### XML安全威胁 1. **XML注入攻击**:攻击者通过操纵输入数据,使得XML解析器执行非预期的操作,例如执行远程...
xml2:绑定到libxml2
02-05
3. 安全性:libxml2支持安全XML解析,能够防范XML注入攻击。xml2包在设计时也充分考虑了安全因素,确保用户在处理XML数据时不会受到潜在的安全威胁。 4. 兼容性:xml2不仅支持标准的XML,还对HTML、DTD(文档类型...
安全技术经典译丛》SQL注入攻击与防御.pdf
03-10
此外,书中还涵盖了最新的SQL注入技术和趋势,如利用JSON和XML注入、跨站脚本(XSS)与SQL注入的结合,以及云环境下的SQL注入问题。对于网络安全专业人员来说,了解这些现代攻击手法及其对策,对于保持系统安全至关...
Windows Vista培训系列课程(13):WPF之安全编程
11-06
总的来说,这个Windows Vista培训系列课程的第十三部分是为那些希望构建安全、健壮的WPF应用的开发者准备的。通过深入学习和实践,开发者不仅可以提升其在WPF平台上的编程技能,还能确保其应用程序在日益复杂的安全...
xml注入
Y-Y-K的博客
04-15 818
xml注入实体引用DTD(文档类型定义)定义:构建方式:参数实体 实体引用 DTD(文档类型定义) 定义: 其可定义XML文档的合法构建模块,可在XML文档内声明,也可外部引用。 构建方式: 1.内部实体声明 <!ENTITY entity-name "entity-value"> 引用:&entity-name;,即可将"entity-value"展示出来 2.外部声明默认...
2_xml方式实现属性注入
weixin_44353972的博客
11-14 309
spring(自理解)
深入浅出带你了解XML实体注入
Candour_0的博客
02-19 256
深入浅出带你了解XML实体注入
XXE xml注入漏洞 入门
weixin_51458899的博客
02-17 2105
xxe 入门
XML实体注入
weixin_55190422的博客
09-25 466
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
XML注入攻击
热门推荐
beyond__devil的博客
10-10 1万+
一、漏洞描述 XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。 图片素材来自网络 二、形成原因 解析
XML外部实体(XXE)注入详解
zz_strive_2012的专栏
07-30 4940
###XML与xxe注入基础知识 1.XMl定义 XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。 XML:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),.
Spring实战篇(一) —— XML注入(基础)
Z-Rabbit
04-30 187
在开始第一个Spring应用前,让我们先做如下一些准备:JDK(1.5以上)EclipseMaven及m2eclipse插件(可选,如果熟悉Maven可以很快的在项目中加入所需的Spring Jar包,如果想用Maven,那就自学一下,只要学一点基础就可以了)   Ok,让我们开始吧。首先,在Eclipse中创建一个Maven Project或Java Project,如果创建Maven ...
Web安全学习笔记-Web-Sec Documentation
01-30
常见漏洞攻防部分深入讲解了一系列Web应用安全问题,包括SQL注入、XSS跨站脚本、CSRF跨站请求伪造、SSRF服务器端请求伪造、命令注入、目录穿越、文件读取、文件上传、文件包含、XML外部实体(XXE)注入、模板注入、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值