XML注入
原理:
XML(ExtensibleMarkup Language) 可扩展标记语言。
可扩展:标签都是自定义的。
功能:存储数据(1、配置文件 2、在网络中传输)。
xml与html的区别
xml标签都是自定义的,html标签是预定义。
xml的语法严格,html语法松散。
xml是存储数据的,html是展示数据。
XML的设计宗旨是传输数据,而非显示数据。
XML注入是通过利用闭合标签改写XML文件实现的。
本次文章讲解的主要是结合SOAP-UI进行注入的傻瓜式教程。
首先我们看一下我们遇到那种页面属于XML注入
https://xxx.com/xxx?wsdl
https://xxx.com/service/xxx?wsdl
结合工具
SOAPui设置
(1)设置代理,方便burp抓包(设置代理后使用必须打开burp)
(2)添加项目
(3)找到目标点(设置过或某些情况选择Request扫描)
(4)进入目标,添加扫描
(5)扫描
(6)burp中查看注入点
得到注入点,sqlmap一发入魂
-END-
微信号:Zero-safety
-扫码关注我们-
带你领略不一样的世界
阅读 99999
本文始发于微信公众号(零度安全攻防实验室):XML注入-工具科普篇
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论