XML 插入

high Web App Scanning Plugin ID 114116

概要

XML 插入

說明

XML 插入是指攻擊者嘗試將 XML 文件插入應用程式。如果 XML 剖析器無法依情境驗證資料,則此測試會產生肯定結果。

此攻擊可導致機密資料洩漏、拒絕服務、從剖析器所處電腦進行連接埠掃描,以及其他系統影響。

解決方案

由於會使用特定值來構建 XML 文件,因此必須套用嚴格篩選。另外,XML 處理器應設定為使用本機靜態 DTD,且不允許 XML 文件中包含任何宣告的 DTD。

另請參閱

https://cheatsheetseries.owasp.org/cheatsheets/XML_Security_Cheat_Sheet.html

Plugin 詳細資訊

嚴重性: High

ID: 114116

類型: remote

系列: Injection

已發布: 2023/12/1

已更新: 2025/7/3

掃描範本: api, full, pci, scan

風險資訊

VPR

風險因素: Medium

分數: 4.7

CVSS v2

風險因素: High

基本分數: 9

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:P/A:P

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: High

基本分數: 8.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: High

Base Score: 7.2

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L

CVSS 評分資料來源: Tenable

參考資訊