 描述
攻击者利用了XML用户可控输入探针,攻击,并注入数据XML数据库,使用技术类似于SQL注入。用户可控的输入可以允许未经授权的浏览数据,绕过身份验证或直接XML数据库访问的前端应用程序,并可能改变数据库信息。
攻击的可能性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
248年 |
命令注入 |
| ParentOf |
 详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
83年 |
XPath注入 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
84年 |
XQuery注入 |
| ParentOf |
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 |
228年 |
DTD注入 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
调查目标:使用浏览器或一个自动化工具,敌人记录的所有实例用户可控输入用于contruct XML查询
| 技术 |
| 使用自动化工具来记录用户可控的所有实例输入用于contruct XML查询。 |
| 网站使用浏览器手动探索和分析应用程序如何处理输入。 |
实验
确定结构的查询:使用人工或自动手段,测试输入XML的弱点。
| 技术 |
| 使用XML保留字符或单词,可能与其他输入数据试图引起意想不到的结果,识别不正确的输入验证。 |
利用
注入内容XML查询:工艺恶意内容包含XML表达式不是由应用程序验证和执行XML查询的一部分。
| 技术 |
| 使用精心设计的输入来执行意想不到的查询数据库信息,攻击者可以披露敏感。 |
先决条件
| XML查询用于处理用户输入和检索信息存储在XML文档中 |
| 用户可控输入不正确的消毒 |
技能要求
|
(等级:低) 攻击者必须有知识的XML语法和结构为了成功利用XML注入 |
所需资源
指标
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
授权 |
获得特权 |
|
|
保密 |
读取数据 |
|
缓解措施
| 强大的输入验证,所有用户可控的输入必须验证和过滤非法字符以及内容的上下文中,可以解释XML数据或查询。 |
| 使用自定义的错误页面,攻击者可以收集信息的本质从描述性查询错误消息。输入验证必须加上自定义的错误页面,通知一个错误没有披露信息数据库或应用程序。 |
例子,实例
| 考虑一个应用程序,该应用程序使用一个XML数据库对用户进行身份验证。应用程序从一个请求检索用户名和密码并形成一个XPath表达式来查询数据库。攻击者可以成功地绕过身份验证和登录没有通过XPath注入有效身份证件。这可以通过将XPath语法的查询XML数据库导致身份验证检查失败。验证用户可控的输入和使用不当non-parameterized XPath表达式使攻击者将导致认证绕过一个XPath表达式。 |
分类法映射
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2017-08-04
(版本2.11) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Resources_Required |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新引用,Related_Weaknesses |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的措施之一,Taxonomy_Mappings |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Execution_Flow |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
