CGI 通用 XML 注入
medium Nessus 插件 ID 46196
语言:
简介
远程 Web 服务器上托管的 CGI 应用程序容易受到 XML 注入攻击。描述
通过将特别构建的参数发送至远程 Web 服务器托管的一或多个 CGI 脚本,Nessus 可获得非常不同的响应,这意味着其能够修改应用程序的行为并直接访问 SOAP 后端。攻击者可能会利用此问题绕过认证、读取机密数据、修改远程数据库或甚至控制远程操作系统。利用 XML 注入通常不算小事。请注意,此脚本为实验性质,且可能容易受到误报影响,在 PHP 应用程序使用“strip_tags()”审查用户输入时尤其如此。解决方案
修改受影响的 CGI 脚本,使其正确转义参数,尤其是 XML 标签与特殊字符(尖括号与斜线)。另见
插件详情
严重性: Medium
ID: 46196
文件名: torture_cgi_xml_injection.nasl
版本: 1.16
类型: remote
系列: CGI abuses
发布时间: 2010/4/30
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: Medium
基本分数: 6.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
必需的 KB 项: Settings/enable_web_app_tests