CGI 通用 XML 注入

medium Nessus 插件 ID 46196

简介

远程 Web 服务器上托管的 CGI 应用程序容易受到 XML 注入攻击。

描述

通过将特别构建的参数发送至远程 Web 服务器托管的一或多个 CGI 脚本,Nessus 可获得非常不同的响应,这意味着其能够修改应用程序的行为并直接访问 SOAP 后端。攻击者可能会利用此问题绕过认证、读取机密数据、修改远程数据库或甚至控制远程操作系统。利用 XML 注入通常不算小事。请注意,此脚本为实验性质,且可能容易受到误报影响,在 PHP 应用程序使用“strip_tags()”审查用户输入时尤其如此。

解决方案

修改受影响的 CGI 脚本,使其正确转义参数,尤其是 XML 标签与特殊字符(尖括号与斜线)。

另见

http://www.nessus.org/u?5691cc8c

插件详情

严重性: Medium

ID: 46196

文件名: torture_cgi_xml_injection.nasl

版本: 1.17

类型: remote

系列: CGI abuses

发布时间: 2010/4/30

最近更新时间: 2024/6/14

支持的传感器: Nessus

漏洞信息

必需的 KB 项: Settings/enable_web_app_tests

参考资料信息

CWE: 713, 722, 727, 810, 91, 928, 929

OWASP: OWASP-DV-008