XML注入场景
来源:互联网 发布:虚拟机网络连接 编辑:程序博客网 时间:2024/06/06 14:20
XML 指可扩展标记语言,XML 被设计用来传输和存储数据。
XML注入一般指在请求的XML数据中插入攻击利用代码,根据不同的场景,可能会形成以下的漏洞形式:
1、xee XML Entity Expansion
https://yq.aliyun.com/articles/8723
2、xxe XXE Injection即XML External Entity Injection
https://security.tencent.com/index.php/blog/msg/69
http://blog.csdn.net/u011721501
http://www.secpulse.com/archives/49194.html
3、soap注入
http://blog.csdn.net/niexinming/article/details/49491643
4、XPath注入
XPath 是一门在 XML 文档中查找信息的语言。XPath 可用来在 XML 文档中对元素和属性进行遍历。
xpath注入的场景确实比较少 主要出现在利用xml进行数据存储的时候
也就是当使用xml取代mysql这种数据库的功能的时候
我自己构造了一个简单的场景 就是用xml进行用户信息存储的
也就是当使用xml取代mysql这种数据库的功能的时候
我自己构造了一个简单的场景 就是用xml进行用户信息存储的
在登陆的场景时候 当用户登录请求是:
//user[username/text()='Jhon' and password/text()='123456']的时候 就可以正常登陆
如果有一个字段与xml存储的不一样就拒绝登陆
那么这个时候我们就可以利用sql注入绕过登陆的思路来了
构造以下请求可以登录
//user[username/text()='John' and password/text()='' or 'a'='a']
//user[username/text()='Jhon' and password/text()='123456']的时候 就可以正常登陆
如果有一个字段与xml存储的不一样就拒绝登陆
那么这个时候我们就可以利用sql注入绕过登陆的思路来了
构造以下请求可以登录
//user[username/text()='John' and password/text()='' or 'a'='a']
0 0
- XML注入场景
- XML LINQ通用场景
- XML实体注入
- spring 注入之 xml
- Spring xml注入实例
- Injection Attacks-XML注入
- [渗透测试]XML注入
- Spring XML注入依赖
- XML注入攻击
- XXE xml实体注入
- Spring XML注入
- Spring IOC注入方式和场景
- DOM4j解析XML(依赖注入)
- Spring的xml注入实例
- Web安全之XML注入
- Spring:依赖注入(XML)
- 注解注入xml中的类
- Spring数据注入(xml)
- HTML5第一天
- PyGobject(六十三)Gtk.Widget之Gtk.AccelLabel
- 天纵智能软件快速开发平台主次表数据管理插件
- SHA-1退休:数千万用户通向加密网站之路被阻
- 任务调度之Timer、TimerTask
- XML注入场景
- 简单的了解深度学习的运行机制
- Python新手学习基础之条件语句——if/else语句
- HDU 2356 <抽屉原理>
- hibernate实现增删改查的各种方法
- leetcode No58. Length of Last Word
- 2016 Multi-University Training Contest 3 1001 Sqrt Bo (模拟)
- c# 给字符串的第n个字符赋值
- hdu 3863 No Gambling (水博弈规律)