XML 指可扩展标记语言,XML 被设计用来传输和存储数据。
XML注入一般指在请求的XML数据中插入攻击利用代码,根据不同的场景,可能会形成以下的漏洞形式:
1、xeeXMLEntity Expansion
https://yq.aliyun.com/articles/8723
2、xxeXXE Injection即XML External Entity Injection
https://security.tencent.com/index.php/blog/msg/69
http://blog.csdn.net/u011721501
http://www.secpulse.com/archives/49194.html
3、soap注入
http://www.jb51.cc/article/p-zribgnlk-bdv.html
4、XPath注入
XPath 是一门在 XML 文档中查找信息的语言。XPath 可用来在 XML 文档中对元素和属性进行遍历。
在登陆的场景时候当用户登录请求是: //user[username/text()='Jhon'andpassword/text()='123456']的时候就可以正常登陆 如果有一个字段与xml存储的不一样就拒绝登陆 那么这个时候我们就可以利用sql注入绕过登陆的思路来了 构造以下请求可以登录 //user[username/text()='John'andpassword/text()=''or'a'='a']
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
