XML注入场景

前端之家收集整理的这篇文章主要介绍了XML注入场景前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

XML 指可扩展标记语言,XML 被设计用来传输和存储数据。

XML注入一般指在请求的XML数据中插入攻击利用代码,根据不同的场景,可能会形成以下的漏洞形式:

1xeeXMLEntity Expansion

https://yq.aliyun.com/articles/8723

2、xxeXXE Injection即XML External Entity Injection

https://security.tencent.com/index.php/blog/msg/69

http://blog.csdn.net/u011721501

http://www.secpulse.com/archives/49194.html

3、soap注入

http://www.jb51.cc/article/p-zribgnlk-bdv.html

4、XPath注入


XPath 是一门在 XML 文档中查找信息的语言。XPath 可用来在 XML 文档中对元素和属性进行遍历。


xpath注入的场景确实比较少主要出现在利用xml进行数据存储的时候


也就是当使用xml取代MysqL这种数据库功能的时候


我自己构造了一个简单的场景就是用xml进行用户信息存储的

在登陆的场景时候当用户登录请求是: //user[username/text()='Jhon'andpassword/text()='123456']的时候就可以正常登陆 如果有一个字段与xml存储的不一样就拒绝登陆 那么这个时候我们就可以利用sql注入绕过登陆的思路来了 构造以下请求可以登录 //user[username/text()='John'andpassword/text()=''or'a'='a']
原文链接:https://www.f2er.com/xml/294949.html

猜你在找的XML相关文章