Inyección XML
¿Qué es Inyección XML?
Inyección XMLAtaque que introduce etiquetas, atributos o fragmentos XPath maliciosos en el procesamiento XML de una aplicación para alterar la lógica o extraer datos.
La inyección XML ocurre cuando la entrada del usuario se incrusta en documentos XML, mensajes SOAP o consultas XPath sin la codificación o validación adecuada. El atacante puede añadir nuevos elementos (XML injection), manipular la jerarquía del documento (ataques estructurales XML) o modificar expresiones XPath (XPath injection) para eludir la autenticación, escalar privilegios o leer partes arbitrarias de un origen de datos XML. Variantes relacionadas incluyen los ataques XXE, que abusan de la resolución de entidades de los parsers XML. Las defensas son una validación de esquema sólida (XSD), APIs de XPath parametrizadas, codificación de toda entrada insertada en XML, deshabilitar funciones no usadas del parser y emplear librerías reforzadas con configuraciones seguras por defecto.
● Ejemplos
- 01
Enviar <username>admin</username><!--<password>x</password>--> para comentar el elemento de contraseña y obtener acceso de administrador.
- 02
Inyectar ' or '1'='1 en una consulta XPath de inicio de sesión que devuelve el primer usuario cuando la autenticación falla en abierto.
● Preguntas frecuentes
¿Qué es Inyección XML?
Ataque que introduce etiquetas, atributos o fragmentos XPath maliciosos en el procesamiento XML de una aplicación para alterar la lógica o extraer datos. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Inyección XML?
Ataque que introduce etiquetas, atributos o fragmentos XPath maliciosos en el procesamiento XML de una aplicación para alterar la lógica o extraer datos.
¿Cómo defenderse de Inyección XML?
Las defensas contra Inyección XML combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Inyección XML?
Nombres alternativos comunes: Inyección XPath (relacionada).