首页 » 安全知识库 » WEB安全原理 » XML攻击 » 正文

XML常见攻击

名称:xpath注入

描述:XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。

修复方案:
1、数据提交到服务器上端,在服务端正式处理这批数据之前,对提交数据的合法性进行验证。
2、检查提交的数据是否包含特殊字符,对特殊字符进行编码转换或替换、删除敏感字符或字符串。
3、对于系统出现的错误信息,以IE错误编码信息替换,屏蔽系统本身的出错信息。
4、参数化XPath查询,将需要构建的XPath查询表达式,以变量的形式表示,变量不是可以执行的脚本。
5、通过MD5、SSL等加密算法,对于数据敏感信息和在数据传输过程中加密,即使某些非法用户通过非法手法获取数据包,看到的也是加密后的信息。

漏洞名称:XML外部实体注入
漏洞描述:
当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
修复建议:
1、使用开发语言提供的禁用外部实体的方法。
2、过滤用户提交的XML数据。

腾讯社区wiki:

http://wiki.open.qq.com/wiki/

发表评论