지역 사회
배우다
도구 라이브러리
AI 도구
여가
찾다
한국어
백엔드 개발 XML/RSS 튜토리얼 웹 보안의 XML 인젝션 샘플 코드에 대한 자세한 소개

웹 보안의 XML 인젝션 샘플 코드에 대한 자세한 소개

黄舟
黄舟
Mar 08, 2017 pm 04:48 PM

XML 인젝션 공격은 SQL 인젝션과 동일한 원리로, 공격자는 악성코드를 입력하여 자신의 권한을 벗어난 기능을 수행합니다. XML은 데이터를 저장하는 방식으로, 데이터를 수정하거나 쿼리할 때 이스케이프하지 않고 직접 입력하거나 출력하면 XML 인젝션 취약점이 발생한다. 공격자는 XML 데이터 형식을 수정하고 새로운 XML 노드를 추가하여 데이터 처리 프로세스에 영향을 미칠 수 있습니다.

공격

다음은 등록된 사용자 정보를 XML 형식으로 저장하는 예이다. 

final String GUESTROLE = "guest_role";
...
//userdata是准备保存的xml数据,接收了name和email两个用户提交来的数据。
String userdata = "<USER role="+
                GUESTROLE+
                "><name>"+
                request.getParameter("name")+
                "</name><email>"+
                request.getParameter("email")+
                "</email></USER>";
//保存xml
userDao.save(userdata);
로그인 후 복사

보시다시피 이 코드는 어떠한 필터링 작업도 수행하지 않는다. 일반 사용자가 등록하면 다음과 같은 데이터 레코드가 생성됩니다. 

<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest_role">
    <name>user1
    </name>
    <email>user1@a.com
    </email>
</USER>
로그인 후 복사

공격자가 자신의 이메일을 입력하면 다음 코드를 입력할 수 있습니다. 

user1@a.com</email></USER><USER role="admin_role"><name>lf</name><email>user2@a.com
로그인 후 복사

최종 사용자가 등록한 후, 데이터는 다음과 같습니다. 

<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest_role">
    <name>user1
    </name>
    <email>user1@a.com</email>
</USER>
<USER role="admin_role">
    <name>lf</name>
    <email>user2@a.com
    </email>
</USER>
로그인 후 복사

보시다시피 role="admin_role"인 추가 관리자 lf가 있습니다. 공격 목적을 달성합니다.

방어

옛말처럼 공격이 있는 곳에 방어가 있다. 방어의 원칙은 실제로 매우 간단합니다. 키 문자열을 이스케이프하는 것입니다: 

& --> &
 < --> <
 > --> >
 " --> "
 &#39; --> &#39;
로그인 후 복사

XML을 저장하고 표시하기 전에 데이터 부분만 이스케이프합니다: ​​

String userdata = "<USER role="+
                GUESTROLE+
                "><name>"+
                StringUtil.xmlencode(request.getParameter("name"))+
                "</name><email>"+
                StringUtil.xmlencode(rrequest.getParameter("email"))+
                "</email></USER>";
로그인 후 복사

이렇게 됩니다. .


위 내용은 웹 보안의 XML 인젝션 샘플 코드에 대한 자세한 소개의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

더보기

인기 기사

R.E.P.O. 에너지 결정과 그들이하는 일 (노란색 크리스탈)
2 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
스플릿 소설을이기는 데 얼마나 걸립니까?
1 몇 달 전 By DDD
R.E.P.O. 파일 저장 위치 : 어디에 있고 그것을 보호하는 방법은 무엇입니까?
1 몇 달 전 By DDD
R.E.P.O. 최고의 그래픽 설정
2 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
어 ass 신 크리드 그림자 : 조개 수수께끼 솔루션
1 몇 주 전 By DDD
더보기

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

더보기

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?
7399
15
자바 튜토리얼
1630
14
Cakephp 튜토리얼
1358
52
라라벨 튜토리얼
1268
25
PHP 튜토리얼
1217
29
더보기
Related knowledge
PowerPoint를 사용하여 XML 파일을 열 수 있나요? PowerPoint를 사용하여 XML 파일을 열 수 있나요? Feb 19, 2024 pm 09:06 PM

XML 파일을 PPT로 열 수 있나요? XML, Extensible Markup Language(Extensible Markup Language)는 데이터 교환 및 데이터 저장에 널리 사용되는 범용 마크업 언어입니다. HTML에 비해 XML은 더 유연하고 자체 태그와 데이터 구조를 정의할 수 있으므로 데이터 저장과 교환이 더 편리하고 통합됩니다. PPT 또는 PowerPoint는 프레젠테이션 작성을 위해 Microsoft에서 개발한 소프트웨어입니다. 이는 포괄적인 방법을 제공합니다.

Python에서 XML 데이터를 CSV 형식으로 변환 Python에서 XML 데이터를 CSV 형식으로 변환 Aug 11, 2023 pm 07:41 PM

Python의 XML 데이터를 CSV 형식으로 변환 XML(ExtensibleMarkupLanguage)은 데이터 저장 및 전송에 일반적으로 사용되는 확장 가능한 마크업 언어입니다. CSV(CommaSeparatedValues)는 데이터 가져오기 및 내보내기에 일반적으로 사용되는 쉼표로 구분된 텍스트 파일 형식입니다. 데이터를 처리할 때, 간편한 분석과 처리를 위해 XML 데이터를 CSV 형식으로 변환해야 하는 경우가 있습니다. 파이썬은 강력하다

Python은 XML의 특수 문자와 이스케이프 시퀀스를 구문 분석합니다. Python은 XML의 특수 문자와 이스케이프 시퀀스를 구문 분석합니다. Aug 08, 2023 pm 12:46 PM

Python은 XML의 특수 문자와 이스케이프 시퀀스를 구문 분석합니다. XML(eXtensibleMarkupLanguage)은 서로 다른 시스템 간에 데이터를 전송하고 저장하는 데 일반적으로 사용되는 데이터 교환 형식입니다. XML 파일을 처리할 때 특수 문자와 이스케이프 시퀀스가 ​​포함되어 구문 분석 오류가 발생하거나 데이터가 잘못 해석될 수 있는 상황이 자주 발생합니다. 따라서 Python을 사용하여 XML 파일을 구문 분석할 때 이러한 특수 문자와 이스케이프 시퀀스를 처리하는 방법을 이해해야 합니다. 1. 특수문자 및

C# 개발에서 XML 및 JSON 데이터 형식을 처리하는 방법 C# 개발에서 XML 및 JSON 데이터 형식을 처리하는 방법 Oct 09, 2023 pm 06:15 PM

C# 개발에서 XML 및 JSON 데이터 형식을 처리하려면 특정 코드 예제가 필요합니다. 최신 소프트웨어 개발에서는 XML과 JSON이 널리 사용되는 두 가지 데이터 형식입니다. XML(Extensible Markup Language)은 데이터를 저장하고 전송하는 데 사용되는 마크업 언어인 반면, JSON(JavaScript Object Notation)은 경량 데이터 교환 형식입니다. C# 개발에서는 XML 및 JSON 데이터를 처리하고 조작해야 하는 경우가 많습니다. 이 기사에서는 C#을 사용하여 이 두 가지 데이터 형식을 처리하고 첨부하는 방법에 중점을 둘 것입니다.

Python을 사용하여 XML로 데이터 확인 구현 Python을 사용하여 XML로 데이터 확인 구현 Aug 10, 2023 pm 01:37 PM

Python을 사용하여 XML로 데이터 검증 구현 소개: 실생활에서 우리는 종종 다양한 데이터를 처리하며, 그중 XML(Extensible Markup Language)이 일반적으로 사용되는 데이터 형식입니다. XML은 가독성과 확장성이 좋아 데이터 교환, 구성 파일 등 다양한 분야에서 널리 사용됩니다. XML 데이터를 처리할 때 데이터의 무결성과 정확성을 보장하기 위해 데이터를 확인해야 하는 경우가 많습니다. 이 기사에서는 Python을 사용하여 XML로 데이터 검증을 구현하는 방법을 소개하고 그에 상응하는 결과를 제공합니다.

Java에서 Jackson 라이브러리를 사용하여 POJO를 XML로 변환하시겠습니까? Java에서 Jackson 라이브러리를 사용하여 POJO를 XML로 변환하시겠습니까? Sep 18, 2023 pm 02:21 PM

Jackson은 Java 개체를 JSON으로, JSON을 Java 개체로 변환하는 데 유용한 Java 기반 라이브러리입니다. JacksonAPI는 다른 API보다 빠르고 메모리 공간이 덜 필요하며 대형 개체에 적합합니다. XmlMapper 클래스의 writeValueAsString() 메서드를 사용하여 POJO를 XML 형식으로 변환하고 해당 POJO 인스턴스를 이 메서드에 매개 변수로 전달해야 합니다. 구문 publicStringwriteValueAsString(Objectvalue)throwsJsonProcessingExceptionExampleimp

웹 개발에서 PHP는 프런트엔드인가요, 백엔드인가요? 웹 개발에서 PHP는 프런트엔드인가요, 백엔드인가요? Mar 24, 2024 pm 02:18 PM

PHP는 웹 개발의 백엔드에 속합니다. PHP는 주로 서버 측 로직을 처리하고 동적 웹 콘텐츠를 생성하는 데 사용되는 서버 측 스크립팅 언어입니다. 프런트엔드 기술과 비교하여 PHP는 데이터베이스와의 상호 작용, 사용자 요청 처리, 페이지 콘텐츠 생성과 같은 백엔드 작업에 더 많이 사용됩니다. 다음으로, 백엔드 개발에서 PHP 적용을 설명하기 위해 특정 코드 예제가 사용됩니다. 먼저 데이터베이스에 연결하고 데이터를 쿼리하기 위한 간단한 PHP 코드 예제를 살펴보겠습니다.

조종석 웹 UI에서 관리 액세스를 활성화하는 방법 조종석 웹 UI에서 관리 액세스를 활성화하는 방법 Mar 20, 2024 pm 06:56 PM

Cockpit은 Linux 서버용 웹 기반 그래픽 인터페이스입니다. 이는 주로 신규/전문가 사용자가 Linux 서버를 보다 쉽게 ​​관리할 수 있도록 하기 위한 것입니다. 이 문서에서는 Cockpit 액세스 모드와 CockpitWebUI에서 Cockpit으로 관리 액세스를 전환하는 방법에 대해 설명합니다. 콘텐츠 항목: Cockpit 입장 모드 현재 Cockpit 액세스 모드 찾기 CockpitWebUI에서 Cockpit에 대한 관리 액세스 활성화 CockpitWebUI에서 Cockpit에 대한 관리 액세스 비활성화 결론 조종석 입장 모드 조종석에는 두 가지 액세스 모드가 있습니다. 제한된 액세스: 이는 조종석 액세스 모드의 기본값입니다. 이 액세스 모드에서는 조종석에서 웹 사용자에 액세스할 수 없습니다.

See all articles