XML注入场景

XML 2020-06-13

XML 指可扩展标记语言,XML 被设计用来传输和存储数据。

XML注入一般指在请求的XML数据中插入攻击利用代码,根据不同的场景,可能会形成以下的漏洞形式:

1xeeXMLEntity Expansion

https://yq.aliyun.com/articles/8723

2、xxeXXE Injection即XML External Entity Injection

https://security.tencent.com/index.php/blog/msg/69

http://blog.csdn.net/u011721501

http://www.secpulse.com/archives/49194.html

3、soap注入

http://www.jb51.cc/article/p-zribgnlk-bdv.html

4、XPath注入


XPath 是一门在 XML 文档中查找信息的语言。XPath 可用来在 XML 文档中对元素和属性进行遍历。


xpath注入的场景确实比较少主要出现在利用xml进行数据存储的时候


也就是当使用xml取代MysqL这种数据库功能的时候


我自己构造了一个简单的场景就是用xml进行用户信息存储的

在登陆的场景时候当用户登录请求是: //user[username/text()='Jhon'andpassword/text()='123456']的时候就可以正常登陆 如果有一个字段与xml存储的不一样就拒绝登陆 那么这个时候我们就可以利用sql注入绕过登陆的思路来了 构造以下请求可以登录 //user[username/text()='John'andpassword/text()=''or'a'='a']

相关文章

php输出xml格式字符串
php输出xml格式字符串
J2ME Mobile 3D入门教程系列文章之一
J2ME Mobile 3D入门教程系列文章之一
XML轻松学习手册
XML轻松学习手册
XML入门的常见问题(一)
XML入门的常见问题(一)
XML入门的常见问题(三)
XML入门的常见问题(三)
XML轻松学习手册(2)XML概念
XML轻松学习手册(2)XML概念