xml注入攻击

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量9.3k 收藏 11
点赞数 2
分类专栏: 注入攻击 安全

XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。 
XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。

攻击

下面是一个保存注册用户信息为XML格式的例子:

final String GUESTROLE = "guest_role";
...
//userdata是准备保存的xml数据,接收了name和email两个用户提交来的数据。
String userdata = "<USER role="+
                GUESTROLE+
                "><name>"+
                request.getParameter("name")+
                "</name><email>"+
                request.getParameter("email")+
                "</email></USER>";
//保存xml
userDao.save(userdata);

可以看到,这段代码没有进行任何的过滤操作。一个普通用户注册后,会产生这样一条数据记录:

<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest_role">
    <name>user1
    </name>
    <email>user1@a.com
    </email>
</USER>

攻击者输入自己email时,可以输入如下代码:

user1@a.com</email></USER><USER role="admin_role"><name>lf</name><email>user2@a.com

最终用户注册后,数据就变成了:

<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest_role">
    <name>user1
    </name>
    <email>user1@a.com</email>
</USER>
<USER role="admin_role">
    <name>lf</name>
    <email>user2@a.com
    </email>
</USER>

可以看到,多出了一条role=“admin_role”的管理员lf。达到攻击目的。

防御

还是那句老话,有攻击就有防御。防御的原理其实也很简单,就是对关键字符串进行转义:

& --> &amp;
 < --> &lt;
 > --> &gt;
 " --> &quot;
 ' --> &#39;

在XML保存和展示之前,对数据部分,单独做转义即可:

String userdata = "<USER role="+
                GUESTROLE+
                "><name>"+
                StringUtil.xmlencode(request.getParameter("name"))+
                "</name><email>"+
                StringUtil.xmlencode(rrequest.getParameter("email"))+
                "</email></USER>";

这样就解决啦。

朝闻道_
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【XXE技巧拓展】————3、XML实体注入漏洞攻与防
Fly_鹏程万里
12-24 1956
目录 XML基础 XML实体注入漏洞的几种姿势 防御XML实体注入漏洞 XML基础 XML是一种用于标记电子文件使其具有结构性的标记语言,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 XML技术基础我在这里将不在详细解读,有兴趣的小伙伴可以通过...
PHP安全:XML注入漏洞防护
yihuliunian的博客
09-09 1426
XML注入攻击也称为XXE(XML External Entity attack)漏洞XML文件的解析依赖于libxml库,libxml 2.9及以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的XML文件时未对XML文件引用的外部实体(含外部普通实体和外部参数实体)进行合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在XML文件中声明URI指向服务器本地的实体造成攻击。 XXE漏洞一旦被攻击者利用,可以读取服务器任意文件、执行任意代码、发起DDos攻击。 在
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1007
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
XML 注入的介绍与代码防御
煜铭2011
10-07 6995
0x01 介绍 一些 Web 应用程序将 XML 文件用于各种用途,从配置到完整数据库功能。 用户输入通常会传播到这些文件中,进而定制配置或更新应用程序数据库。 如果在使用用户输入之前未清理或验证错误字符,那么这会成为安全隐患。 当未采取任何预防措施时,恶意用户可以变更配置指令,添加新用户(如果用户列表通过 XML 文件进行维护),获取更高的特权等等。 以下证明易
XML注入攻击总结
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
Web安全之注入漏洞详解及预防
路多辛的所思所想
01-31 869
注入攻击是 Web 安全领域中最常见的攻击方式注入攻击发生在当不可信的数据作为命令或者查询语句的一部分被发送给解释器的时候。预防注入攻击的最好方法是代码审核,可以将静态的(SAST)、动态的(DAST)和交互式(IAST)的安全测试工具集成到 CI/CD 流程中,以便在部署到生产环境之前检测出并解决掉注入类安全问题。注意避免xml注入、代码注入、SQL注入、HTML注入注入型安全问题的发生,一定要在数据拼接的地方进行安全检查,对拼接内容进行严格校验和必要的转义处理。常见的注入漏洞预防措施。
xml攻击 简介、示例、防范
weixin_42100211的博客
04-28 1928
在查找openpyxl的官方介绍时,注意到security这一栏提到了针对xml解析器的攻击。 介绍了什么是xml实体,各种xml实体攻击的基本思路,和其中一种xml攻击的demo。
Web服务的XML注入攻击检测
02-24
Web服务的XML注入攻击检测
XML_xml_
09-30
3. **XML攻击**:XML注入攻击是针对处理XML数据的应用程序的常见威胁。攻击者可能会利用不安全的XML解析器插入恶意的XML代码,导致数据泄露或系统崩溃。因此,必须使用安全的解析策略,如禁止外部实体引用,避免XXE...
XStream解析XML实例
04-14
XStream默认不开启安全性,这意味着恶意用户可能会通过XML注入攻击。为了避免这种情况,应始终启用`XStream的安全模式`: ```java xstream.processAnnotations(Person.class); // 需要注解支持 xstream....
XMLView.zip
07-05
因此,防止XML注入攻击,如XXE(XML External Entity)和XSS(Cross-Site Scripting),是开发过程中的重要环节。开发人员需要确保正确验证和编码输入,限制XML解析器的配置,以减少潜在的安全风险。 XMLView这样的...
你所不知道的XML安全—XML攻击方法小结
01-30
XML可扩展标记语言,被设计用来传输和存储数据,其形式多样。某些在XML中被设计出来的特性,比如 XMLschemas(遵循XMLSchemas规范)和documentstypedefinitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML攻击上。XML可扩展标记语言,被设计用来传输和存储数据。其形式多样例如:1.文档格式(OOXML,ODF,PDF,RSS,DOCX...)2.图片格式(SVG,EXIFHeaders,...)3.配置文件(自定义名字,一般是.xml)4
Having Fun with XML Hacking
04-13
然而,如同任何其他编程或数据交换技术,XML也存在安全风险,其中之一就是XML注入攻击XML注入攻击是当恶意用户通过输入恶意构造的XML数据来操纵应用程序的解析逻辑时发生的。这种攻击方式可能导致数据泄露、系统...
XML注入漏洞
武天旭的博客
10-05 1940
一、漏洞描述 XML外部实体注入攻击,无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体。
webservice及xml工具类
猪猪
01-07 1442
我的入参实例 <MESSAGE> <BODY> <ROWS> <ROW> <REG_NO>123</REG_NO> </ROW> </ROWS> </BODY> </MESSAGE> pom文件 <!--xstream相关依赖--> <dependency>
【愚公系列】2023年05月 Web渗透测试之XML攻击
热门推荐
时光隧道
08-25 5万+
XML攻击是一种利用XML文件中的漏洞攻击系统的攻击方法。攻击者可以通过构造恶意的XML文件,使系统解析XML文件时受到攻击,导致系统崩溃、泄漏敏感信息等安全问题。XML攻击的常见类型包括XML注入攻击、XXE攻击、XPath注入攻击等。为防范XML攻击,可以采用严格的XML解析方式、限制外部实体引用等安全措施。
学习与了解XXE漏洞(一)
就是我的博客
01-25 801
从代码中了解XXE漏洞利用与修复原理!
web渗透--24--XML注入攻击
武天旭的博客
09-16 1868
1、漏洞描述: 可扩展标记语言(Extensible Markup Language, XML),用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML是标准通用标记语言(SGML)的子集,非常适合Web传输。XML提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。XML注入攻击,和SQL注入的原理一样,都是攻...
CRLF注入攻击代码例子
03-05
以下是一个CRLF注入攻击的代码例子: GET /index.php HTTP/1.1 Host: example.com User-Agent: Mozilla/5. (Windows NT 10.; Win64; x64; rv:58.) Gecko/20100101 Firefox/58. Accept: text/html,application/xhtml...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值