问题:
XML 注入攻击,和 SQL 注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。
XML 是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导
致 XML 注入漏洞。攻击者可以修改 XML 数据格式,增加新的 XML 节点,对数据处理流程产生影响。
攻击下面是一个保存注册用户信息为 XML 格式的例子:
final String GUESTROLE = "guest_role";
...
//userdata 是准备保存的 xml 数据,接收了 name 和 email 两个用户提交来的数据。
String userdata = "<USER role="+
GUESTROLE+
"><name>"+
request.getParameter("name")+
"</name><email>"+
request.getParameter("email")+
"</email></USER>";
// 保存 xml
userDao.save(userdata);
可以看到,这段代码没有进行任何的过滤操作。一个普通用户注册后,会产生这样一条数据记录:
<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest_role">
<name>user1
</name>
<email>user1@a.com
</email>
</USER>
攻击者输入自己 email 时,可以输入如下代码:
user1@a.com</email></USER><USER role="admin_role"><name>lf</name><email>user2@a.com
最终用户注册后,数据就变成了:
<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest_role">
<name>user1
</name>
<email>user1@a.com</email>
</USER>
<USER role="admin_role">
<name>lf</name>
<email>user2@a.com
</email>
</USER>
可以看到,多出了一条 role="admin_role" 的管理员 lf 。达到攻击目的。
修复:
对关键字符串进行转义:
& --> &
< --> <
> --> >
" --> "
' --> '
在 XML 保存和展示之前,对数据部分,单独做转义即可:
String userdata = "<USER role="+
GUESTROLE+
"><name>"+
StringUtil.xmlencode(request.getParameter("name"))+
"</name><email>"+
StringUtil.xmlencode(rrequest.getParameter("email"))+
"</email></USER>";
XML 注入与修复
zqmattack2025-06-14 12:57
相关推荐
从此不归路17 小时前
Qt5 进阶【12】JSON/XML 数据协议处理:与后端/配置文件的对接方芯半导体1 天前
EtherCAT “通信 + 控制“ 的全国产化控制方案,ESC芯片(FCE1323)与国产MCU芯片功能板解析好好研究1 天前
总结SSM设置欢迎页的方式R-sz3 天前
mybatis的XML,如何多值匹配,支持单值(=)和多值(IN)查询方芯半导体3 天前
EtherCAT从站控制器芯片(FCE1353)与MCU(STM32H743)功能板解析!码农娟3 天前
Hutool XML工具-XmlUtil的使用码农娟4 天前
Hutool XML工具-XmlUtil遇到标签问题草履虫建模5 天前
A02 Maven 基础配置:本地仓库、镜像、项目编码与常见问题(IDEA 实战)Dawndddddd5 天前
XXE(XML外部实体注入)漏洞嵌入式老表5 天前
ISO15118-2 解读4 —— XML、EXI、签名