2. 程式人生 > >28. 注入篇——XML注入

28. 注入篇——XML注入

阿新 發佈:2019-02-12

XML

XML是The Extensible Markup  Language(可擴充套件標識語言)的簡寫。XML最初設計的目的是彌補HTML的不足,後來逐漸用於網路資料的轉換和描述。XML的設計宗旨是傳輸資料,而非顯示資料。

目前,XML在WEB中的應用已經非常廣泛。下面舉一個簡單的XML例項:

<?xml version="1.0" encoding="utf-8">

<manager>

    <admin id="1">

        <name>admin</name>

        <password>admin</password>

<admin>

     <admin id=2>

    <name>root</name>

   <password>root</password>

</admin>

</manager>

XML注入

XML與HTML一樣,也存在注入攻擊,甚至在注入的方法上也非常相似。

對於上面的xml檔案,如果攻擊者能夠掌控password欄位,那麼就會產生XML注入,如攻擊者輸入:

admin </password></admin><admin id="100"><name>hack</name><password>hacker</password></admin>

最終的修改後的XML為:

<?xml version="1.0" encoding="utf-8">
<manager>
 <admin id="1">
     <name>admin</name>
     <password>admin</password>
</admin>
<admin id="100">
     <name>hack</name>
     <password>hacker</password>
</admin>

以上的程式碼相當於添加了一個名為hack、密碼為:hacker的新的使用者到管理員組內!

XML注入時的兩大注意點:

(1)標籤閉合(關鍵所在

(2)獲取XML的表結構

XML注入的前提條件

(1)使用者能夠控制資料的輸入

(2)程式有拼湊的資料

XML注入防禦

(1)對使用者的輸入進行過濾

(2)對使用者的輸入進行轉義

預定義字元轉以後的預定義字元
<&lt;
>&gt;
&&amp;
'&apos;
"&quot;
註明:部分記憶體參考《WEB安全深度剖析》

相關推薦

28. 注入——XML注入

XMLXML是The Extensible Markup  Language(可擴充套件標識語言)的簡寫。XML最初設計的目的是彌補HTML的不足,後來逐漸用於網路資料的轉換和描述。XML的設計宗旨是傳輸資料,而非顯示資料。目前,XML在WEB中的應用已經非常廣泛。下面舉一個

spring依賴注入(二)-java注入xml注入,混合注入

java注入 @Configuration public class CDPlayerConfig { @Bean public CompactDisc compactDisc(){

31. 注入——SQL注入擷取字串常用函式

 在sql注入中,往往會用到擷取字串的問題,例如不回顯的情況下進行的注入,也成為盲注,這種情況下往往需要一個一個字元的去猜解,過程中需要用到擷取字串。本文中主要列舉三個函式和該函式注入過程中的一些用例。Ps;此處用mysql進行說明,其他型別資料庫請自行檢測。三大法寶:mid

【網路安全】SQL注入XML注入、JSON注入和CRLF注入科普文

目錄 SQL注入 一些尋找SQL漏洞的方法 防禦SQL注入 SQL注入相關的優秀部落格 XML注入 什麼是XML注入 預防XML注入

xml注入漏洞

1.什麼是xml注入(xxe)?       2.什麼是xml實體?       3.xml的引用方式                 &nb

Spring依賴注入(構造引數注入、集合,陣列屬性注入XML自動注入 ,全註解配置)

依賴注入 構造引數注入        --> 常用的是方案一和方案二         MyBean類  YouBean類 <?xml version="1.0" encodin

web安全/滲透測試--23--XML注入攻擊

1、漏洞描述: 可擴充套件標記語言(Extensible Markup Language, XML),用於標記電子檔案使其具有結構性的標記語言,可以用來標記資料、定義資料型別,是一種允許使用者對自己的標記語言進行定義的源語言。XML是標準通用標記語言(SGML

【29】WEB安全學習----XML注入

一、XML基礎 簡介: XML:可擴充套件標記語言。XML被設計用來是傳輸和儲存資料,XML是一種“元標記”語言,開發者可以根據自己的需要建立標記的名稱。 XML結構 XML是一種樹結構,從“根部”開始,然後擴充套件到“枝葉”,XML文件必須有根元素。 <?x

2.偏頭痛楊的spring教學系列之依賴注入

前戲 控制反轉與依賴注入是spring中最最最重要的概念,沒有之一, 常常拿出來一起說,那麼什麼是控制?又怎樣去反轉? 什麼是依賴?又怎樣去注入? 今天讓我們來揭開依賴注入&控制反轉的神祕面紗。 本文的程式碼全部使用xml的方式,註解方式後面會單獨有一章

史上最簡單SpringBoot @Bean & @Qualifier 注入(零 XML 注入

首先,Create 一個名叫 ApplicationConfig 的類: —> 1、用 @Configuration 註解上 —> 2、繼承 WebMvcConfigurerAdapter (零 XML 注入) —> 3、定義一個方法用 @Be

Spring4.0 xml顯示配置(構造器引數注入,屬性注入

專案目錄: package paraBean; public class AnoBean { void play(){ System.out.println("i am abbean"); } } package paraBean; public

基於xml的兩種依賴注入方式(建構函式注入,setter注入

概述 Spring中依賴注入dependency injection(DI)一般來說有兩種形式: 1)基於xml的依賴注入, 2)基於註解的依賴注入。 基於xml的依賴注入方式通常又可以分為:1)建構函式方式注入。2)setter方式注入。 環境 Spring4.3.9

spring 框架中的依賴注入(IOC--設值注入)---使用xml簡單配置檔案---的具體例項的簡單實現

體現了具體專案工程裡面的分層,dao,daoImpl,service,serviceImpl,action。讓你真正的理解這為啥分層。 畢竟當年我剛剛畢業的時候,再找工作我就不是很清楚為什麼有這麼幾層

Spring XML 注入

Spring XML 注入 DI: 依賴注入: 注入資料的方式: setter方式注入: 1.單值注入 2.物件注入 3.集合注入(直接注入和間接注入

sql注入2

一、前言   上一篇:sql注入篇1 二、基於回顯的注入型別判斷   1、有結果的注入     例如下圖: (sqlllab less-1)可以看到有正常結果返回,對於的利用方式就是老套路了,先order by查詢出當前語句查詢的列數,在使用union查詢一一爆資料,當然,也可以使用指令碼直接脫

SQL注入 報錯注入

第一類 group by 與 floor rand 函式的報錯 payload (select count(*) from (select 1 union select 2 union selec

網安實驗室CTF 注入

使用者名稱輸入 admin’ or ‘1’=’1 實現繞過。 頁面沒有輸入框,檢視原始碼,發現tips:id=1 說明 url?id=1處存在注入點。新增‘ 報錯,於是考慮構造 ?id=1 or 1=1永真語句 成功注入拿到flag 3.防

Web安全之XML注入

XML注入攻擊,和SQL注入的原理一樣,都是攻擊者輸入惡意的程式碼來執行自身許可權以外的功能。 XML是儲存資料的一種方式,如果在修改或者查詢時,沒有做轉義,直接輸入或輸出資料,都將導致XML注入漏洞。攻擊者可以修改XML資料格式,增加新的XML節點,對資料處

sqli-labs————less 23(高階注入

前言從這一關開始,我們進進入了短暫的高階注入部分,這一部分中將會陸續介紹一些更為巧妙的注入技巧。Less -23檢視一下原始碼:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://

SSM框架專案搭建系列(四)— Spring之bean的XML注入方式

在XML中可使用兩種方式進行注入:建構函式注入和setter注入 建構函式注入constructor 直接傳值 applicationContext.xml <bean id="helloworldBeanId" class="com.ssm.b