XML安全之Web Services
作者:
·
2015/03/31 10:37
0x01 引言
前段時間搞站遇到了TRS的系統裡面涉及到了ws(Web Services簡稱)的相關技術,不久前玩一個xx酒店的時候又透過ws進入了它的資料庫,後來接連遇到或看見一些app服務和物聯網相關係統中出現XML相關漏洞,於是搜尋相關資料做技術積累。如果文中出現錯誤,望指正。
0x02 什麼是WS
Web Service是基於網路的、分散式的模組化元件,它執行特定的任務,遵守具體的技術規範,這些規範使得Web Service能與其他相容的元件進行互操作。 Web Services 利用 SOAP 和 XML對這些模型在通訊方面作了進一步的擴充套件以消除特殊物件模型的障礙。Web Services 主要利用 HTTP 和 SOAP 協議使業務資料在 Web 上傳輸,SOAP透過 HTTP 呼叫業務物件執行遠端功能呼叫,Web 使用者能夠使用 SOAP 和 HTTP透過 Web 呼叫的方法來呼叫遠端物件的。(來至百度百科)。
簡單的說WS就是http + XML,WS平臺的元素有:SOAP、UDDI、WSDL。
0x03 xml注入(soap注入)
以下將介紹一些利用場景,漏洞是千變萬化的肯定不全,也不是每種環境都適用。
情景1:
漏洞:
#!html
<?xml version="1.0" encoding="UTF-8"?>
<USER role="guest">attacker's code</USER>
poc:
#!html
A</USER><USER role="admin">B
情景2:
漏洞:
改變了
相關文章
- Web services 安全 - HTTP Basic AuthenticationWebHTTP
- 傳統的和基於XML的WEB機構體系,以及WEB Services ( XML專題 一) (轉)XMLWeb
- Web services框架Web框架
- Web services 介紹Web
- Amazon Web Services (目錄)Web
- Web Services體系 (轉)Web
- Web Services 平臺 (轉)Web
- Web Services平臺 (轉)Web
- Web Services 簡介 (轉)Web
- 使用services.xml檔案釋出WebServiceXMLWeb
- Web Services Security 的簽名流Web
- SOA and Web Services 新手入門Web
- Web 安全之 XSSWeb
- 電子政務與Web ServicesWeb
- Delphi 6 Web Services初步評估Web
- xml web serviceXMLWeb
- Web 安全之混合內容Web
- Web安全漏洞之CSRFWeb
- MVC應用程式使用Web Services(asmx)MVCWebASM
- IBM Lotus Quickr Web Services 介紹IBMUIWeb
- 【Web Services】建立過程之四(完) (轉)Web
- Delphi 6 Web Services初步評估 (轉)Web
- Web前端安全之安全編碼原則Web前端
- Web 安全之內容安全策略 (CSP)Web
- web.xml作用WebXML
- Web安全之CSRF例項解析Web
- Web 安全漏洞之 SQL 注入WebSQL
- Web安全之檔案上傳Web
- 轉享:Ehcache 服務和RESTful Web ServicesRESTWeb
- web services 的優勢究竟在何處???Web
- 【原創】WebService大講堂之Axis2(3):使用services.xml檔案釋出WebServiceWebXML
- web.xml的作用WebXML
- web.xml之一WebXML
- 關於web.xmlWebXML
- web.xml詳解WebXML
- 《白帽子講WEB安全》學習筆記之第12章WEB框架安全Web筆記框架
- web.xml相關配置WebXML
- websphere中web.xml配置WebXML