CN107948163A - 一种xml注入漏洞检测与防御方法 - Google Patents
一种xml注入漏洞检测与防御方法 Download PDFInfo
- Publication number
- CN107948163A CN107948163A CN201711220720.9A CN201711220720A CN107948163A CN 107948163 A CN107948163 A CN 107948163A CN 201711220720 A CN201711220720 A CN 201711220720A CN 107948163 A CN107948163 A CN 107948163A
- Authority
- CN
- China
- Prior art keywords
- xml file
- xml
- character
- file
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/18—Automatic repetition systems, e.g. Van Duuren systems
- H04L1/1806—Go-back-N protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
一种XML注入漏洞检测与防御方法包括一服务器,用于获取及存储待上传XML文件,以及存储XML文件字符黑名单;一XML注入检测模块,主要用于获取XML文件,篡改XML文件内容,分析注入结果;一基本防御模块,主要用于XML文件标识校验,XML文件内容结构校验,XML文件白名单校验;一字符防御模块,主要用于参数格式校验,非法字符检测,XML文件编码转换,预定义字符转义。有益效果在于:利用本发明所述技术方案,可以对XML文件进行实时检测,可有效防止XML文件被篡改而形成注入攻击漏洞,能有效保护服务器。
Description
技术领域
本发明涉及网页安全领域,具体而言,涉及一种XML注入漏洞检测与防御方法。
背景技术
XML注入攻击是由于缺少对XML文件内容进行严格校验审查,使得带有恶意攻击的参数覆盖或添加XML文件中数据结构的参数,恶意参数被服务器存储或解析,导致服务器遭受攻击。
XML注入攻击可以描述为:对于已有合法XML文件内容P和恶意XML文件内容P,应用程序没有对接收XML文件内容进行合法性的检查和过滤,则P会被程序接受而执行攻击者意图,这就是参数污染攻击。
利用注入攻击漏洞,可以修改XML硬编码参数,改变web应用程序行为,访问或利用不可控变量,以及绕过输入验证检查等。
发明内容
本发明是针对现有技术的不足,提出了一种XML注入漏洞检测与防御方法,该方法的应用可以有效避免XML注入漏洞被攻击。
一种XML注入漏洞检测与防御方法,包括:
一获取及存储待上传XML文件的服务器;
模拟注入攻击,获取XML文件并存储在服务器中,篡改XML文件并模拟注入攻击;
对XML文件的标识、内容结构及来源与去向进行合法性校验;
对XML文件中各项参数格式校验;
所述模拟注入攻击及XML文件校验合法后,XML文件上传正式服务器。
进一步的,所述模拟注入攻击的方式为:检测web站点XML文件传输操作,截取待上传的XML文件,模拟攻击者意图对该文件进行篡改,将篡改后的恶意文件上传至服务器,测试攻击结果。
进一步的,对XML文件的标识、内容结构及来源与去向进行合法性校验方式包括:
在前端用密钥对XML的文件标识进行加密,服务器对上传的XML文件标识解密后进行合法性校验,XML文件标识校验通过后,依照预定的文件结构对XML文件内容结构合法性进行校验,XML文件内容结构校验通过后,依照预定的传输路径对XML文件来源与去向进行合法性校验。在三项校验中,其中任何一项校验不通过,则XML文件必然被篡改,服务器应舍弃该文件并且要求前端重发。
进一步的,所述对XML文件中各项参数格式校验的方式为:
所述字符防御模块校验参数格式时,依照服务器中存储的字符黑名单对XML文件中字符进行检测,若存在非法字符则舍弃该文件并要求前端重发,同时,对XML文件内容进行编码转换,对编码转换后的XML文件内容中的预定义字符转义,凡是存在于预定义字符列表中的字符均转义为对应的预定义字符列表中转义后的字符。
一种XML注入漏洞检测与防御装置,包括:
一服务器,用于获取及存储待上传XML文件,以及存储XML文件字符黑名单;
一XML注入检测模块,主要检测web站点XML文件传输操作,截取要上传的XML文件,模拟攻击者意图对该文件进行篡改,将篡改后的恶意文件上传至服务器,测试攻击结果;
一基本防御模块,服务器对上传的XML文件标识解密后进行合法性校验,XML文件标识校验通过后,依照预定的文件结构对XML文件内容结构合法性进行校验,XML文件内容结构校验通过后,依照预定的传输路径对XML文件来源与去向进行合法性校验。
一字符防御模块,依照预定的参数格式对XML文件中各项参数格式校验。
进一步的,所述字符防御模块校验参数格式时,依照服务器中存储的字符黑名单对XML文件中字符进行检测,若存在非法字符则舍弃该文件并要求前端重发,同时,对XML文件内容进行编码转换,对编码转换后的XML文件内容中的预定义字符转义,凡是存在于预定义字符列表中的字符均转义为对应的预定义字符列表中转义后的字符。
有益效果在于:利用本发明所述技术方案,可以对XML文件进行实时检测,可有效防止XML文件被篡改而形成注入攻击漏洞,能有效保护服务器。
具体实施方式
为了使本领域技术人员更好地理解本发明的技术方案,下面结合具体实施例对本发明作进一步的详细说明。
一种XML注入漏洞检测与防御方法包括:
一服务器,用于获取及存储待上传XML文件,以及存储XML文件字符黑名单;
一XML注入检测模块,主要用于获取XML文件,篡改XML文件内容,分析注入结果;
一基本防御模块,主要用于XML文件标识校验,XML文件内容结构校验, XML文件白名单校验;
一字符防御模块,主要用于参数格式校验,非法字符检测, XML文件编码转换,预定义字符转义。
所述XML注入检测模块,检测web站点XML文件传输操作,截取要上传的XML文件,模拟攻击者意图对该文件进行篡改,将篡改后的恶意文件上传至服务器,测试攻击结果。
所述基本防御模块,在前端用密钥对XML的文件标识进行加密,服务器对上传的XML文件标识解密后进行合法性校验,XML文件标识校验通过后,依照预定的文件结构对XML文件内容结构合法性进行校验,XML文件内容结构校验通过后,依照预定的传输路径对XML文件来源与去向进行合法性校验。在三项校验中,其中任何一项校验不通过,则XML文件必然被篡改,服务器应舍弃该文件并且要求前端重发。
所述字符防御模块,依照预定的参数格式对XML文件中各项参数格式校验,如“密码位数不少于6位、标准邮箱格式、图片文件大小不大于1M”等,依照字符黑名单对XML文件中字符进行检测,若存在非法字符则舍弃该文件并要求前端重发,对XML文件内容进行编码转换,对编码转换后的XML文件内容中的预定义字符转义,凡是存在于预定义字符列表中的字符均转义为对应的预定义字符列表中转义后的字符。
以上对本发明所提供的一种XML注入漏洞检测与防御方法进行了详细介绍,本文中应用了实施例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (6)
1.一种XML注入漏洞检测与防御方法,其特征在于,包括:
一获取及存储待上传XML文件的服务器;
模拟注入攻击,获取XML文件并存储在服务器中,篡改XML文件并模拟注入攻击;
对XML文件的标识、内容结构及来源与去向进行合法性校验;
对XML文件中各项参数格式校验;
所述模拟注入攻击及XML文件校验合法后,XML文件上传正式服务器。
2.如权利要求1所述的一种XML注入漏洞检测与防御方法,其特征在于,所述模拟注入攻击的方式为:检测web站点XML文件传输操作,截取待上传的XML文件,模拟攻击者意图对该文件进行篡改,将篡改后的恶意文件上传至服务器,测试攻击结果。
3.如权利要求1所述的一种XML注入漏洞检测与防御方法,其特征在于,对XML文件的标识、内容结构及来源与去向进行合法性校验方式包括:
在前端用密钥对XML的文件标识进行加密,服务器对上传的XML文件标识解密后进行合法性校验,XML文件标识校验通过后,依照预定的文件结构对XML文件内容结构合法性进行校验,XML文件内容结构校验通过后,依照预定的传输路径对XML文件来源与去向进行合法性校验。在三项校验中,其中任何一项校验不通过,则XML文件必然被篡改,服务器应舍弃该文件并且要求前端重发。
4.如权利要求1所述的一种XML注入漏洞检测与防御方法,其特征在于,所述对XML文件中各项参数格式校验的方式为:
所述字符防御模块校验参数格式时,依照服务器中存储的字符黑名单对XML文件中字符进行检测,若存在非法字符则舍弃该文件并要求前端重发,同时,对XML文件内容进行编码转换,对编码转换后的XML文件内容中的预定义字符转义,凡是存在于预定义字符列表中的字符均转义为对应的预定义字符列表中转义后的字符。
5.一种XML注入漏洞检测与防御装置,其特征在于,所述XML注入漏洞检测与防御装置包括:
一服务器,用于获取及存储待上传XML文件,以及存储XML文件字符黑名单;
一XML注入检测模块,主要检测web站点XML文件传输操作,截取要上传的XML文件,模拟攻击者意图对该文件进行篡改,将篡改后的恶意文件上传至服务器,测试攻击结果;
一基本防御模块,服务器对上传的XML文件标识解密后进行合法性校验,XML文件标识校验通过后,依照预定的文件结构对XML文件内容结构合法性进行校验,XML文件内容结构校验通过后,依照预定的传输路径对XML文件来源与去向进行合法性校验。
一字符防御模块,依照预定的参数格式对XML文件中各项参数格式校验。
6.如权利要求5所述的一种XML注入漏洞检测与防御装置,其特征在于,所述字符防御模块校验参数格式时,依照服务器中存储的字符黑名单对XML文件中字符进行检测,若存在非法字符则舍弃该文件并要求前端重发,同时,对XML文件内容进行编码转换,对编码转换后的XML文件内容中的预定义字符转义,凡是存在于预定义字符列表中的字符均转义为对应的预定义字符列表中转义后的字符。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711220720.9A CN107948163A (zh) | 2017-11-29 | 2017-11-29 | 一种xml注入漏洞检测与防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711220720.9A CN107948163A (zh) | 2017-11-29 | 2017-11-29 | 一种xml注入漏洞检测与防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107948163A true CN107948163A (zh) | 2018-04-20 |
Family
ID=61950494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711220720.9A Pending CN107948163A (zh) | 2017-11-29 | 2017-11-29 | 一种xml注入漏洞检测与防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107948163A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110545264A (zh) * | 2019-08-16 | 2019-12-06 | 苏州浪潮智能科技有限公司 | 一种自动化检测ldap认证注入漏洞的方法及装置 |
| CN110958221A (zh) * | 2019-10-25 | 2020-04-03 | 杭州数梦工场科技有限公司 | 动态检测xml外部实体注入漏洞的方法及装置 |
| CN112866389A (zh) * | 2021-01-21 | 2021-05-28 | 同方电子科技有限公司 | 一种基于Slip协议的短波电台通信中文件传输方法及设备 |
| CN114024709A (zh) * | 2021-09-22 | 2022-02-08 | 湖北天融信网络安全技术有限公司 | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 |
| CN117235716A (zh) * | 2023-11-14 | 2023-12-15 | 之江实验室 | 一种ooxml文档模板注入攻击的未知威胁防御方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1760620A2 (en) * | 2005-08-16 | 2007-03-07 | EEye Digital Security | Methods and Systems for Detection of Forged Computer Files |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描系统 |
| CN106909846A (zh) * | 2017-01-16 | 2017-06-30 | 安徽开源互联网安全技术有限公司 | 一种基于虚拟解析的漏洞检测方法及其装置 |
| CN107204982A (zh) * | 2017-06-13 | 2017-09-26 | 成都四方伟业软件股份有限公司 | 交互式数据系统通用安全防护系统 |
-
2017
- 2017-11-29 CN CN201711220720.9A patent/CN107948163A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1760620A2 (en) * | 2005-08-16 | 2007-03-07 | EEye Digital Security | Methods and Systems for Detection of Forged Computer Files |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描系统 |
| CN106909846A (zh) * | 2017-01-16 | 2017-06-30 | 安徽开源互联网安全技术有限公司 | 一种基于虚拟解析的漏洞检测方法及其装置 |
| CN107204982A (zh) * | 2017-06-13 | 2017-09-26 | 成都四方伟业软件股份有限公司 | 交互式数据系统通用安全防护系统 |
Non-Patent Citations (3)
| Title |
|---|
| 华悦等: "一种基于SOA的SOAP消息安全传输机制", 《计算机科学》 * |
| 陆培军: "Xpath注入攻击及其防御技术研究", 《计算机与信息技术》 * |
| 陈小兵等: "Access数据库SQL注入攻防技术研究", 《信息网络安全》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110545264A (zh) * | 2019-08-16 | 2019-12-06 | 苏州浪潮智能科技有限公司 | 一种自动化检测ldap认证注入漏洞的方法及装置 |
| CN110545264B (zh) * | 2019-08-16 | 2021-09-03 | 苏州浪潮智能科技有限公司 | 一种自动化检测ldap认证注入漏洞的方法及装置 |
| CN110958221A (zh) * | 2019-10-25 | 2020-04-03 | 杭州数梦工场科技有限公司 | 动态检测xml外部实体注入漏洞的方法及装置 |
| CN110958221B (zh) * | 2019-10-25 | 2021-12-28 | 杭州数梦工场科技有限公司 | 动态检测xml外部实体注入漏洞的方法及装置 |
| CN112866389A (zh) * | 2021-01-21 | 2021-05-28 | 同方电子科技有限公司 | 一种基于Slip协议的短波电台通信中文件传输方法及设备 |
| CN112866389B (zh) * | 2021-01-21 | 2022-09-16 | 同方电子科技有限公司 | 一种基于Slip协议的短波电台通信中文件传输方法及设备 |
| CN114024709A (zh) * | 2021-09-22 | 2022-02-08 | 湖北天融信网络安全技术有限公司 | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 |
| CN114024709B (zh) * | 2021-09-22 | 2024-06-11 | 湖北天融信网络安全技术有限公司 | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 |
| CN117235716A (zh) * | 2023-11-14 | 2023-12-15 | 之江实验室 | 一种ooxml文档模板注入攻击的未知威胁防御方法及装置 |
| CN117235716B (zh) * | 2023-11-14 | 2024-02-13 | 之江实验室 | 一种ooxml文档模板注入攻击的未知威胁防御方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107948163A (zh) | 一种xml注入漏洞检测与防御方法 | |
| CN103581173B (zh) | 一种基于工业以太网的数据安全传输方法、系统及装置 | |
| Al-Hawawreh et al. | Chatgpt for cybersecurity: practical applications, challenges, and future directions | |
| CN104378363A (zh) | 一种动态应用地址转换方法及其网关系统 | |
| CN104333562B (zh) | 数据包传输方法及装置 | |
| CN102664876A (zh) | 网络安全检测方法及系统 | |
| Gupta et al. | Automated discovery of JavaScript code injection attacks in PHP web applications | |
| CN116545650A (zh) | 一种网络动态防御方法 | |
| Patel et al. | Attacks on web services and mitigation schemes | |
| Shar et al. | Auditing the defense against cross site scripting in web applications | |
| Rajba et al. | Data hiding using code obfuscation | |
| Chhajed et al. | Detecting cross-site scripting vulnerability and performance comparison using C-Time and E-Time | |
| Dreier et al. | Formally and practically verifying flow properties in industrial systems | |
| Busch et al. | An Ontology for Secure Web Applications. | |
| CN107086977A (zh) | 应用安全处理方法及装置 | |
| Liu et al. | Security against network attacks on web application system | |
| Brindtha et al. | Identification and detecting of attacker in a purchase portal using honeywords | |
| Agosta et al. | Information leakage chaff: feeding red herrings to side channel attackers | |
| Gao et al. | A cyber deception defense method based on signal game to deal with network intrusion | |
| Fatayer et al. | OverCovert: Using stack-overflow software vulnerability to create a covert channel | |
| Wagner et al. | Faulting Winternitz One-Time Signatures to Forge LMS, XMSS, or Signatures | |
| Lee et al. | Secure dissemination of software updates for intelligent mobility in future wireless networks | |
| Tao | Detection and service security mechanism of xml injection attacks | |
| McMinn | External verification of scada system embedded controller firmware | |
| CN102054133A (zh) | 数据库系统的交互页面控制装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180420 |
|
| WD01 | Invention patent application deemed withdrawn after publication |