Injeção XML
O que é Injeção XML?
Injeção XMLAtaque que insere tags, atributos ou fragmentos XPath maliciosos no processamento XML de uma aplicação para alterar a lógica ou extrair dados.
A injeção XML ocorre quando a entrada do utilizador é incorporada em documentos XML, mensagens SOAP ou consultas XPath sem codificação ou validação adequadas. O atacante pode acrescentar novos elementos (XML injection), manipular a hierarquia do documento (ataques estruturais XML) ou modificar expressões XPath (XPath injection) para contornar a autenticação, escalar privilégios ou ler partes arbitrárias de uma fonte XML. Variantes próximas incluem os ataques XXE, que abusam da resolução de entidades dos parsers XML. As defesas incluem validação rigorosa de esquema (XSD), APIs XPath parametrizadas, codificação de todos os valores não confiáveis inseridos no XML, desativação de funcionalidades não usadas do parser e uso de bibliotecas reforçadas com configurações seguras por omissão.
● Exemplos
- 01
Submeter <username>admin</username><!--<password>x</password>--> para comentar o elemento de palavra-passe e obter acesso de administrador.
- 02
Injetar ' or '1'='1 numa consulta XPath de login que devolve o primeiro utilizador quando a autenticação falha em aberto.
● Perguntas frequentes
O que é Injeção XML?
Ataque que insere tags, atributos ou fragmentos XPath maliciosos no processamento XML de uma aplicação para alterar a lógica ou extrair dados. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injeção XML?
Ataque que insere tags, atributos ou fragmentos XPath maliciosos no processamento XML de uma aplicação para alterar a lógica ou extrair dados.
Como se defender contra Injeção XML?
As defesas contra Injeção XML costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Injeção XML?
Nomes alternativos comuns: Injeção XPath (relacionada).