内容简介:XPath 注入发生在当站点使用用户输入的信息来构造请求以获取 XML 数据的时候。攻击点:任何使用 XPath 查询 XML 的地方。XML、XPath
XPath 注入发生在当站点使用用户输入的信息来构造请求以获取 XML 数据的时候。
一句话描述
- 甲方:未经过滤,直接使用用户提供的信息来获取、查询 XML 数据,导致其中恶意的 XPath 被执行,返回非预期的数据。
- 乙方:破坏原有的 XPath,插入恶意的 XPath,最后闭合原 XPath 的攻击方式。
利用
攻击点:任何使用 XPath 查询 XML 的地方。
组件
XML、XPath
类型
只有一种: https://www.tr0y.wang/2019/05/11/XPath注入指北/
工具
xcat: https://github.com/orf/xcat
防御
-
过滤字符是必须的,比如
[、]、转义'、and、or等等。 -
过滤不需要的函数:
name()、count()等等。 -
加密/Hash:既然 XPath 注入会导致 XML 数据泄露,所以对敏感信息的加密是必须的。这个方法还有一个额外的好处:使得恶意的字符失效。比如对密码 MD5 的话,就意味着密码这个点没法插入单引号来破坏语句了,因为单引号会进入
md5()函数计算。 - 屏蔽错误信息。
- 参数化 XPath 查询。这个因编程语言而异。
End
What do you think?
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- Angular 4 依赖注入教程之二 组件中注入服务
- 服务端注入之Flask框架中服务端模板注入问题
- 服务器端电子表格注入 - 从公式注入到远程代码执行
- SQL注入测试技巧TIP:再从Mysql注入绕过过滤说起
- 手机抓包+注入黑科技HttpCanary——最强大的Android抓包注入工具
- 三, 跨语言微服务框架 - Istio官方示例(自动注入.请求路由.流量控制.故障注入) 原 荐
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
正则表达式必知必会(修订版)
福达 (Ben Forta) / 杨涛 / 人民邮电出版社 / 2015-1-1 / 29.00元
《正则表达式必知必会》从简单的文本匹配开始,循序渐进地介绍了很多复杂内容,其中包括回溯引用、条件性求值和前后查找,等等。每章都为读者准备了许多简明又实用的示例,有助于全面、系统、快速掌握正则表达式,并运用它们去解决实际问题。正则表达式是一种威力无比强大的武器,几乎在所有的程序设计语言里和计算机平台上都可以用它来完成各种复杂的文本处理工作。而且书中的内容在保持语言和平台中立的同时,还兼顾了各种平台之......一起来看看 《正则表达式必知必会(修订版)》 这本书的介绍吧!
