XML注入-工具科普篇

  • A+
所属分类:安全工具

XML注入


原理:

 XML(ExtensibleMarkup Language) 可扩展标记语言。

 可扩展:标签都是自定义的。

 功能:存储数据(1、配置文件 2、在网络中传输)。

 xml与html的区别

 xml标签都是自定义的,html标签是预定义。

 xml的语法严格,html语法松散。

 xml是存储数据的,html是展示数据

 XML的设计宗旨是传输数据,而非显示数据。

 

 XML注入是通过利用闭合标签改写XML文件实现的。

 

 

本次文章讲解的主要是结合SOAP-UI进行注入的傻瓜式教程

 

首先我们看一下我们遇到那种页面属于XML注入

https://xxx.com/xxx?wsdl

https://xxx.com/service/xxx?wsdl

 

XML注入-工具科普篇

                           

结合工具

SOAPui设置

(1)设置代理,方便burp抓包(设置代理后使用必须打开burp)

XML注入-工具科普篇


(2)添加项目

XML注入-工具科普篇


(3)找到目标点(设置过或某些情况选择Request扫描)

 

XML注入-工具科普篇


(4)进入目标,添加扫描

 

XML注入-工具科普篇

 

 (5)扫描

XML注入-工具科普篇



(6burp中查看注入点

XML注入-工具科普篇



 

得到注入点,sqlmap一发入魂


XML注入-工具科普篇


-END-

XML注入-工具科普篇

XML注入-工具科普篇

微信号:Zero-safety

-扫码关注我们-

带你领略不一样的世界

XML注入-工具科普篇



阅读 99999

本文始发于微信公众号(零度安全攻防实验室):XML注入-工具科普篇

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: