XML Injection

La escritura de datos no válidos en un documento XML puede habilitar a un atacante a cambiar la estructura y el contenido del documento XML.

La inyección XML se produce cuando sucede lo siguiente:

1. Los datos se introducen en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Las aplicaciones suelen utilizar la secuencia XML para almacenar datos o enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante puede insertar etiquetas extrañas y hacer que un analizador XML genere una excepción. En casos más nefastos de inyección XML, un atacante puede agregar elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En ocasiones, la inyección XML puede dar lugar a scripts de sitios o una evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, supongamos que este XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El XML nuevo tendría este aspecto:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores ABAP iXML, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML se utilizan a menudo en servicios web y se pueden utilizar también para enviar información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede incluso dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
   <price>100.00</price>
   <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

El método identificado escribe la entrada de XML sin validar. Esta llamada podría permitir a un atacante insertar elementos o atributos de forma arbitraria en el documento XML.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La escritura de datos no válidos en un documento XML puede habilitar a un atacante a cambiar la estructura y el contenido del documento XML.

La inyección XML se produce cuando sucede lo siguiente:

1. Los datos se introducen en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante puede insertar etiquetas extrañas y hacer que un analizador XML genere una excepción. En casos más nefastos de inyección XML, un atacante puede agregar elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En ocasiones, la inyección XML puede dar lugar a scripts de sitios o una evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, supongamos que este XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El XML nuevo tendría este aspecto:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de $ 100 a $ 1.

La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Esto puede permitir que el atacante compre un par de zapatos de 100 $ a 1 $.

El método identificado escribe la entrada de XML sin validar. Esta llamada podría permitir a un atacante insertar elementos o atributos de forma arbitraria en el documento XML.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Al utilizar los analizadores XML, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.


Un tipo más grave de este ataque denominado inyección de entidad externa de XML (XXE) puede producirse cuando el usuario malintencionado controla la parte frontal o todo el documento XML que se analiza.

Ejemplo 2:aquí se muestra parte del código que es vulnerable a ataques de XXE:

Supongamos que un usuario malintencionado es capaz de controlar el XML de entrada al siguiente código:

...
<?php
$goodXML = $_GET["key"];
$doc = simplexml_load_string($goodXml);
echo $doc->testing;
?>
...

Ahora imaginemos que el usuario malintencionado pasa el siguiente código XML al código del Example 2:

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Cuando se procesa el código XML, el contenido del elemento <foo> se rellena con el contenido del archivo boot.ini del sistema. El atacante podría utilizar los elementos XML que se devuelven al cliente para extraer datos u obtener información sobre la existencia de recursos de red.

La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
    <price>100.00</price>
    <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML. El análisis de XML sin validar puede causar un ataque de denegación de servicio, exponer información confidencial e, incluso, permitir una ejecución de código remota.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML o se analizan como XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
    <price>100.00</price>
    <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML. El análisis de XML sin validar puede causar un ataque de denegación de servicio, exponer información confidencial e, incluso, permitir una ejecución de código remota.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML o se analizan como XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a scripts de sitios o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

El método identificado escribe la entrada de XML sin validar. Esta llamada podría permitir a un atacante insertar elementos o atributos de forma arbitraria en el documento XML.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.